ADATFELDOLGOZÁSI SZERZŐDÉS
ADATFELDOLGOZÁSI SZERZŐDÉS
A jelen szerződés tartalmazza az Emberi Erőforrás Fejlesztési Operatív Program (EFOP) „Elektronikus egészségügyi ágazati fejlesztések (EFOP 1.9.6.)” c. kiemelt projekt B komponens „Távegészségügyi módszertani központ létrehozása” projekttel (a továbbiakban: Telemedicina Projekt) kapcsolatban az Országos Kórházi Főigazgatóság (OKFŐ) (1125 Budapest, Diós árok 3.; törzsszáma (PIR): 845885; statisztikai számjele: 15845883-8412-312-01; adószáma: 15845883-2-43) képviseli: Xxxxxx Xxxxxx, igazgató) és az ALSAD Medical Kft (székhely: 7400 Kaposvár, Zárda utca 13., cégjegyzékszám: 00-00-000000, adószám: 26684802- 2-14, képviseli: Xxxxx Xxxxxx ügyvezető önállóan) között Telemedicina Keretrendszer Együttműködési megállapodás szolgáltatás tárgyában létrejött jogviszonyhoz tartozó adatfeldolgozással kapcsolatos feltételeket, melynek során az Országos Kórházi Főigazgatóság, adatkezelőnek minősül (a továbbiakban: „Adatkezelő”), míg az ALSAD Medical Kft., a GDPR 28. cikk szerinti Adatfeldolgozónak minősül („Adatfeldolgozó”).
1. Az Adatfeldolgozás tárgya
1.1. A Felek megállapodnak abban, hogy az Adatkezelő Adatfeldolgozó rendelkezésére bocsátja az Országos Kórházi Főigazgatóság a Telemedicina Keretrendszer (a továbbiakban: TMKR) adatbázisába felhasználók beléptetéséhez szükséges adatait a Pilot során a TMKR rendszerbe törtétnő beléptetés támogatása céljából.
Az Adatkezelő 1.1. pontban leírt tevékenységére tekintettel, valamint az Adatfeldolgozó 1.1. pontban megjelölt tevékenységének ellátása érdekében Adatkezelő és Adatfeldolgozó jelen Adatfeldolgozási szerződést kötik.
Adatfeldolgozó a jelen Adatfeldolgozási szerződés alapján Adatkezelő részére az adatfeldolgozási tevékenységet ingyenesen végzi. Az általános forgalmi adóról szóló 2007. évi CXXVII. törvény 14. §
(2) bekezdésében foglaltakra tekintettel Adatkezelő és Adatfeldolgozó rögzítik, hogy a jelen Szerződés az Adatfeldolgozó 1.1. pontban rögzített alaptevékenységének ellátását szolgálja, így az ingyenes adatfeldolgozási tevékenység nem az Adatfeldolgozó vállalkozási tevékenységétől idegen cél érdekében történik, ezért nem minősül ellenérték fejében történő szolgáltatásnyújtásnak.
1.2. A Felek megállapodnak abban, hogy az Adatkezelő az alábbi cél eléréséhez szükséges esetben és mértékben és Adatfeldolgozó rendelkezésére bocsátja a Telemedicina Keretrendszerben (a továbbiakban: TMKR) tárolt alábbi adatokat a fejlesztői feladatok ellátása érdekében.
Az adatkezelés tárgya: | Az Országos Kórházi Főigazgatóság által az Adatfeldolgozó rendelkezésére bocsátott személyes adatok a folyamatos fejlesztői és üzemeltetői feladatok ellátása érdekében. |
Az adatfeldolgozás időtartama: | 6 hónap |
Az adatfeldolgozás jellege: | Az Országos Kórházi Főigazgatóság által kezelt, az Adatfeldolgozó rendelkezésére adatbázis kezelése a rendszer fejlesztése és támogatása, üzemeltetése érdekében. |
A személyes adatok feldolgozásának célja: | Az adatfeldolgozás célja az TMKR rendszer folyamatos fejlesztési és támogatási feladatainak ellátása. Az ALSAD Medical Kft. a feladatait úgy látja el, hogy közben nem fér hozzá a TMKR-ben rögzített adatokhoz, ugyanakkor az adatok a fejlesztés, szerverüzemeltetési feladatokból adódóan a birtokába kerülnek. A fejlesztés, üzemeltetés, hibajavítás folyamán az üzemeltetés, hibajavítás céljából és a célok elérésére korlátozott mértékben Adatfeldolgozó néhány személyes- illetve egészségügyi adathoz is hozzáférhet. |
A személyes adatok típusa: | A Páciensek és TMKR Felhasználók Projekt során a TMKR-be kerülő személyes adatai. |
Az érintettek kategóriái: | Páciensek és TMKR Felhasználók egyaránt. |
Az Adatfeldolgozó az általa az Adatkezelő megbízásából feldolgozott adatokat a Projekt fenntartási idő végeztével visszaállíthatatlanul törli, amelyről az Adatkezelő kapcsolattartóját írásban értesíti.
2. A Felek jogai és kötelezettségei
2.1. Az adatkezelés céljának meghatározása és az Adatfeldolgozó alapvető kötelezettségei
2.1.1. Az adatok kezelésének célját kizárólag az Adatkezelő jogosult meghatározni az Adatkezelő által meghatározott körben.
2.1.2. Az Adatfeldolgozó a személyes adatok kezelése során az Adatkezelő utasítása nélkül is köteles gondoskodni a megfelelő technikai és szervezési intézkedések végrehajtásáról annak biztosítására, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét; fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani; az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint ne válhassanak hozzáférhetővé illetéktelenek számára; továbbá, hogy az Adatkezelő teljesíteni tudja kötelezettségeit az érintettnek a GDPR. III. fejezetében foglalt jogai gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében.
2.2. Nyilatkozat tételi jog
Az Adatfeldolgozó az érintett személyek felé a jelen szerződésben foglalt adatkezelési tevékenysége során, a saját nevében nem járhat el, nyilatkozatot nem tehet. Valamennyi adatkezeléssel kapcsolatos nyilatkozat megtételére az Adatkezelő jogosult.
2.3. Szavatosság
2.3.1. Az Adatfeldolgozó szavatol azért, hogy a személyes adatok feldolgozásának megkezdése előtt végrehajtotta a jelen szerződésben meghatározott technikai és szervezési biztonsági intézkedéseket, és a jelen szerződésben foglalt követelményeknek maradéktalanul megfelel.
2.3.2. Az Adatfeldolgozó kijelenti és szavatolja, hogy a személyes adatokhoz kizárólag a Megállapodás teljesítésében részt vevő munkavállalói illetve egyéb munkavégzésre irányuló jogviszonyban álló személyek férhetnek hozzá, és csak olyan mértékben, mely a jelen szerződés alapján végzett adatfeldolgozási tevékenység teljesítéséhez elengedhetetlen. Szavatolja azt is, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettség hatálya alatt állnak és ezt az Adatkezelő kérésére bármikor igazolni tudja.
2.3.3. Adatfeldolgozó köteles a GDPR 30. cikk (2) bekezdés szerinti elkülönített nyilvántartást vezetni a Megállapodás keretében rendelkezésére bocsátott, az Adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról. Ennek a nyilvántartásnak alkalmasnak kell lennie arra, hogy a felügyeleti hatóság megkeresése, avagy az érintett GDPR 15-22. cikkeiben meghatározott jogainak gyakorlása esetén Adatfeldolgozó késedelem nélkül tudjon tájékoztatást adni a GDPR 30. cikk (2) bekezdésében meghatározott valamennyi körülményről.
2.3.4. Adatfeldolgozó köteles továbbá nyilvántartást vezetni az adatvédelmi incidensekről.
2.4. Utasítási jog
2.4.1. Az Adatfeldolgozó az adatokat kizárólag az Adatkezelő írásbeli utasításai szerint kezelheti.
2.4.2. Az Adatkezelőnek a technikai, szervezési és biztonsági utasításai olyan intézkedésekre terjedhetnek ki, amelyek alkalmasak a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás (továbbiakban: incidens) elleni védelemre, különösen azokban az esetekben, ahol az adatfeldolgozás része az adatok hálózaton történő továbbítása, valamint az adatfeldolgozás egyéb jogellenes formái elleni védelemre, és az intézkedés arányos a megvédendő adatok jellegével és az adatfeldolgozás kockázataival.
2.4.3. Adatfeldolgozó haladéktalanul tájékoztatja Adatkezelőt, ha úgy véli, hogy annak valamely utasítása sérti a GDPR vagy valamely magyar jogszabály adatvédelemmel kapcsolatos rendelkezéseit. Amennyiben Xxxxxxxxxx az utasítás fenntartásáról vagy megváltoztatásáról dönt, erről haladéktalanul értesíti az Adatfeldolgozót, aki az utasítást köteles végrehajtani. Az Adatkezelő által adott utasítások jogszerűségéért az Adatkezelő felel.
2.5. Al-adatfeldolgozók igénybevétele
Az adatkezelés végrehajtásához, az Adatfeldolgozó az alábbi további al-adatfeldolgozókat vonja be, a feltüntetett célokra.
NETIS Zrt. (ALSAD Medical Kft. anyavállalata) Cím: 0000 Xxxxxxxx, Xxxx xx 00.
Telefon: x00 (0) 000-0000
Feladatok: Vérnyomás, Vércukor és Véroxigén mérés szerver oldali adatfeldolgozása
2.6. Ellenőrzési jog
2.6.1. Az Adatkezelő bármikor jogosult ellenőrizni az Adatfeldolgozó adatkezelési tevékenységét, ennek keretében jogosult az Adatfeldolgozó telephelyére, az adatok tárolásának helyére belépni, az adatfeldolgozással kapcsolatos dokumentumokat, elektronikus állományokat – így különösen napló állományokat – korlátozás nélkül megismerni, az Adatfeldolgozótól adatszolgáltatást, tájékoztatást kérni.
2.6.2. Az Adatfeldolgozó köteles biztosítani az Adatkezelő közvetlen ellenőrzési jogának gyakorlását.
2.6.3. A helyszíni ellenőrzésre való jogosultságot az ellenőrzést végző az Adatkezelő által cégszerűen aláírt megbízólevél elnevezésű nyilatkozattal (továbbiakban: Megbízólevél) igazolja, amelynek egy példányát köteles az Adatfeldolgozónak átadni. Nem kell megbízólevelet kiállítani az Adatkezelő kapcsolattartójának.
2.6.4. Nem helyszíni ellenőrzés lefolytatása esetén az Adatkezelő és az Adatfeldolgozó közötti kapcsolatban a jelen szerződésben kapcsolattartásra kijelölt személyek járnak el, az Adatkezelő kapcsolattartójának megbízólevelet nem kell kiállítani.
2.6.5. Adatkezelő az ellenőrzéssel kapcsolatban tett megállapításairól írásban értesíti az Adatfeldolgozót.
2.7. Tájékoztatási kötelezettség
2.7.1. Az Adatfeldolgozó köteles azonnal és szakszerűen reagálni az Adatkezelőtől érkező, az adatkezelés tárgyát képező személyes adatok feldolgozására vonatkozó valamennyi kérdésre, ennek keretében különösen késedelem nélküli tájékoztatás megadásával segíteni az Adatkezelőt a GDPR 32-
36. cikk szerinti kötelezettségeinek teljesítésében.
2.7.2. Amennyiben bármely oknál fogva az Adatfeldolgozó nem képes megfelelni az Adatkezelő utasításainak és/vagy a jelen szerződés feltételeinek, akkor arról haladéktalanul köteles a, kapcsolattartásra a 4.1 pontban megadott e-mail címeken írásban tájékoztatni az Adatkezelőt. Ez esetben Adatkezelő jogosult írásbeli utasítás keretében az adatfeldolgozást felfüggeszteni, vagy a szerződést egyoldalú nyilatkozattal megszüntetni.
2.7.3. Az Adatfeldolgozó kötelezettséget vállal, hogy indokolatlan késedelem nélkül értesíti a kapcsolattartásra a 4.1 pontban megadott e-mail címeken írásban az Adatkezelőt, ha
a. hozzá valamely érintett az adatfeldolgozással összefüggésben bármely kérdéssel, kérelemmel fordul,
b. hozzá a személyes adatok kiadására vonatkozó hatósági, bírósági megkeresés érkezik,
c. adatvédelmi incidens következik be.
Az Adatfeldolgozó mindegyik esetben köteles az értesítéssel egyidejűleg a kapcsolódó dokumentumokat
– így különösen a kérelmeket, hatósági megkereséseket, jegyzőkönyveket – az Adatkezelőnek megküldeni.
2.8. Incidensek kezelése
2.8.1. Amennyiben adatvédelmi incidens következik be, Adatfeldolgozó köteles haladéktalanul intézkedni az incidens elhárítása és a kár megelőzése érdekében. Az Adatfeldolgozó az incidens tudomására jutásától számítva indokolatlan késedelem nélkül, de legfeljebb 4 órán belül köteles a 4.1. pont szerinti e-mail címeken tájékoztatni az Adatkezelőt. Az Adatfeldolgozó tudomásszerzése az az időpont, amikor az Adatfeldolgozó adatvédelmi tisztviselője adatvédelmi incidensnek minősíti a bekövetkezett incidenst. Az Adatkezelő tájékoztatására szolgáló legfeljebb 4 órás időtartam munkaidőben eltelt órák alapján számítandó, a napi munkaidő munkanapokon délelőtt 8:00-tól délután 17:00 óráig tart.
2.8.2. Amennyiben a személyes adatokkal kapcsolatos incidens nem esetileg bekövetkezett véges esemény, hanem folyamatosan fennáll, akkor a személyes adatok védelme érdekében az Adatkezelő az adatfeldolgozással érintett szolgáltatás nyújtását felfüggeszti.
2.8.3. Az incidensről szóló tájékoztatást az Adatfeldolgozó írásban köteles megtenni. A bejelentésnek legalább a következő adatokat kell tartalmaznia:
a) az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
b) a további tájékoztatást nyújtó azon kapcsolattartó nevét és elérhetőségeit, akit az incidens hatósági bejelentése esetén a hatóság az esetleges vizsgálat során közvetlenül elérhet;
c) az adatvédelmi incidensből eredő, valószínűsíthető következményeket.
d) az Adatfeldolgozó által az adatvédelmi incidens orvoslására tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
2.8.4. Az Adatkezelő az Adatfeldolgozó értesítése alapján dönt az incidens soron kívüli vizsgálatáról továbbá ehhez kapcsolódóan az adatfeldolgozásnak az incidens hatókörét meghaladó ellenőrzéséről is dönthet. A döntésben köteles az Adatkezelő kijelölni a vizsgálatot, és kapcsolódó ellenőrzés esetén az azt végző személyeket. A vizsgálatot végző személyek jogosultságának igazolására és a vizsgálati jelentés tartalmára az ellenőrzés szabályai (2.6. pont) az irányadók. A vizsgálatról készített jelentés 1 példányát az Adatkezelő átadja az Adatfeldolgozónak.
2.8.5. Adatkezelő a vizsgálat alapján dönt az incidens elhárításához és a jövőben való bekövetkezés megelőzéséhez szükséges intézkedésekről, amelyet az Adatfeldolgozó köteles végrehajtani.
2.9. Közreműködés adatvédelmi hatásvizsgálatban
2.9.1. Az Adatfeldolgozó kötelezettséget vállal arra, hogy az Adatkezelő kérésére valamennyi információt rendelkezésre bocsát, ami az Adatkezelő adatvédelmi hatásvizsgálat elvégzésére vonatkozó kötelezettségének – ideértve a felügyeleti hatósággal folyatatott előzetes konzultációs kötelezettséget is
– teljesítéséhez szükséges.
2.9.2. Az Adatfeldolgozó az Adatkezelő erre irányuló kérésének 3 munkanapon belül tesz eleget.
2.9.3. Amennyiben az adatvédelmi hatásvizsgálat lefolytatásában az Adatfeldolgozó szakértő képviselőjének személyes közreműködése és/vagy az Adatfeldolgozó telephelyére való belépés biztosítása és/vagy az Adatfeldolgozó által végzett jelen szerződés szerinti adatkezelési műveletek során keletkező adatok megismerése szükséges, azt az Adatkezelő vagy az Adatkezelő által megbízott szakértő számára biztosítja.
2.9.4. Az Adatfeldolgozó köteles továbbá az Adatkezelő rendelkezésére bocsátani az Adatfeldolgozói tevékenysége kapcsán készített vagy az általa használt informatikai alkalmazások fejlesztői által készített adatvédelmi hatásvizsgálatok eredményét.
2.10. Az Adatfeldolgozó köteles a Nemzeti Adatvédelmi és Információszabadság Hatóság adatfeldolgozásra vonatkozó javaslatait figyelemmel kísérni és javaslatot tehet az Adatkezelőnek az érintettek személyes adatainak magasabb szintű védelmét biztosító intézkedésre.
3. Felelősség
3.1 Az Adatfeldolgozó felelős az adatfeldolgozási tevékenység keretében végzett valamennyi művelet szakszerű, szakértőtől elvárható végrehajtásáért és a jelen szerződésben foglalt értesítési, tájékoztatási és nyilatkozattételi kötelezettségének elmulasztásáért.
3.2 Az Adatfeldolgozó felelős mindazon kárért, amely az adatfeldolgozási tevékenységével összefüggésben vagy annak eredményeként az ellenőrzési körében – így különösen alkalmazottai magatartása folytán, az általa működtetett informatikai rendszer kialakításának működtetésének zavara következtében – felmerülő körülmény folytán következett be és annak bekövetkezési lehetősége a számára, mint szakértő számára előre látható volt, és mint szakértőtől elvárható volt, hogy a körülményt elkerülje, vagy a kárt elhárítsa.
3.3 Amennyiben harmadik személy az adatfeldolgozással kapcsolatosan az Adatfeldolgozónak a 2.1-2.4. pontokban meghatározott felelősségi körébe tartozó okból az Adatkezelővel szemben pert indít, az Adatkezelő a perről az Adatfeldolgozót a keresetlevél kézhezvételét követő 15 napon belül írásban értesíti és az Adatfeldolgozót perbe hívja. Az Adatfeldolgozó köteles a perbe hívást elfogadni és a perbe belépni.
3.4 Az Adatfeldolgozó köteles az 3.3. pont szerinti perben a beadványokat, jognyilatkozatokat, jogorvoslatokat az Adatkezelővel előzetesen egyeztetni. Az Adatfeldolgozó a perben csak az Adatkezelő előzetes hozzájárulásával tehet olyan nyilatkozatot, ami az Adatkezelőre nézve kötelezettséget keletkeztet.
3.5 Az Adatfeldolgozó nem felel az ellenőrzési körén kívüli elháríthatatlan körülményekért (vis maior).
4. Kapcsolattartás
4.1. Felek az egymással való kapcsolattartásra a következő személyeket jelölik ki:
Adatkezelő részéről:
név, beosztás: Xxxx Xxxxxxx, szakmai koordinátor Pályázati és Projektkoordinációs Igazgatóság postacím: 1027 Xxxxxxxx, Xxxxxxxxx xxxx 00-00.
telefon: x00000000000
e-mail1: xxxx.xxxxxxx0@xxxx.xxx.xx
név, beosztás: xx. Xxxxxxxxx Xxxxxx, adatvédelmi tisztviselő Főigazgatói Hivatal
postacím: 0000 Xxxxxxxx, Xxxx Xxxxx Xxxxxxxx, Xxxxxxx xxxx 00-00., 000-es szoba telefon: x00-00-000-0000
e-mail: xxxxxxxxxxx.xxxxxxxxxxx@xxxx.xxx.xx
Adatfeldolgozó részéről:
név, beosztás: Xxxxx Xxxxxx, ügyvezető postacím: 0000 Xxxxxxxx, Xxxxx xxxx 00.
telefon: x00 (0) 000-0000
név, beosztás: Xxxxx Xxxxxx, adatvédelmi tisztviselő postacím: 0000 Xxxxxxxx, Xxxxx xxxx 00.
telefon: x00 (0) 000-0000
4.2. A kapcsolattartó személyében beállt változásokat Xxxxx kötelesek egymásnak haladéktalanul bejelenteni azzal, hogy az nem minősül szerződésmódosításnak.
5. Titoktartás
5.1. Adatfeldolgozó köteles biztosítani, hogy munkavállalói titokban tartsanak minden személyes adatot, valamint azt, hogy a személyes adatokhoz az Adatfeldolgozó munkavállalói kizárólag a munkavégzésükhöz szükséges mértékben férjenek hozzá.
Budapest, 2022. ……
Országos Kórházi Főigazgatóság | ALSAD Medical Kft. |
Adatkezelő képviseletében | Adatfeldolgozó képviseletében |
Xxxxxx Xxxxxx igazgató | Xxxxx Xxxxxx ügyvezető |