Umowa powierzenia przetwarzania danych osobowych

Załącznik nr 5 do SWKO – Wzór umowy powierzenia przetwarzania danych osobowych

Umowa powierzenia przetwarzania danych osobowych

(dalej „Umowa powierzenia”)

Umowa powierzenia Nr ………………………………. zawarta dnia …………………………..

Szpital Miejski im. Xxxxxxxxxx Xxxxxx z siedzibą w Poznaniu przy xx. Xxxxxxxxxxx 0, XXX 000-00-00- 837, REGON 000313325, reprezentowaną przez:

- Xxxxxxxx Xxxxxxxxxx- Xxx – Dyrektora ,

Zwaną w dalszej części niniejszej umowy „Zleceniodawcą” lub „Administratorem” oraz

………………………………………………………………………….z siedzibą w ,

NIP: ……………………………….., REGON , reprezentowaną przez:

- ………………………………………………………., zwaną dalej „Procesorem”,

zwanymi dalej łącznie „Stronami” lub indywidualnie „Stroną”.

Zważywszy, że:

• Strony łączy umowa o świadczenie usług z dnia (dalej: „Umowa Główna”) i o

ile dla jej wykonania niezbędne jest powierzenie przetwarzania danych osobowych, to odbywa się ono na mocy niniejszej Umowy powierzenia,

• Strony zobowiązane są do stosowania przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”),

• Xxxxxx postanowiły określić zasady powierzenia przetwarzania danych osobowych, Strony zgodnie postanawiają zawrzeć niniejszą Umowę powierzenia o następującej treści:

§ 1

Postanowienia ogólne

1. Szpital Miejski im. Xxxxxxxxxx Xxxxxx oświadcza, że jest Administratorem w rozumieniu art. 4 pkt 7 RODO.

2. Procesor oświadcza, że posiada zasoby infrastrukturalne, doświadczenie, wiedzę oraz wykwalifikowany personel, w zakresie umożliwiającym należyte wykonanie Umowy powierzenia, w zgodzie z obowiązującymi przepisami prawa. W szczególności Procesor oświadcza, że znane mu są zasady przetwarzania i zabezpieczenia danych osobowych wynikające z RODO.

3. Na podstawie Umowy Głównej Procesor będzie przetwarzał dane osobowe na polecenie Administratora na warunkach określonych w niniejszej Umowie powierzenia.

§ 2

Przedmiot Umowy

1. Strony zgodnie oświadczają, że o ile dla wykonania Umowy Głównej niezbędne jest przetwarzanie danych osobowych to z zastrzeżeniem postanowień § 10 - szczegółowy ich zakres dotyczący kategorii danych osobowych (dalej „Dane” lub „powierzone dane osobowe”), okresu ich przetwarzania oraz zasad ich usuwania oraz zwrotu, jak również kategorii podmiotów, których dane dotyczą zostały opisane w Załączniku nr 1 do niniejszej Umowy powierzenia.

2. Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie danych zwykłych i danych szczególnych zawartych w dokumentacji medycznej w celu wykonywania przez Procesora świadczeń określonych Umową Główną, polegających na:

…………………………………………, określonych w warunkach współpracy między Stronami.

§ 3

Obszar przetwarzania

1. Procesor nie może przekazywać (transferować) danych do państwa trzeciego, które znajduje się poza Europejskim Obszarem Gospodarczym, chyba że Administrator udzieli mu uprzedniej, pisemnej zgody zezwalającej na taki transfer.

2. Jeśli Administrator udzieli Procesorowi zgody na przekazanie Danych do państwa trzeciego, które znajduje się poza Europejskim Obszarem Gospodarczym, Procesor może dokonać transferu tych Danych tylko na zasadach określonych w obowiązujących przepisach.

§ 4

Wydanie Danych

W celu wykonania czynności, o których mowa w § 2 powyżej, Administrator przekaże Dane Procesorowi lub udostępni je zgodnie z roboczymi ustaleniami Stron.

§ 5

Obowiązki Procesora

1. Procesor jest zobowiązany przy wykonywaniu czynności, o których mowa w § 2 powyżej, stosować się do instrukcji Administratora, jeżeli Administrator takie instrukcje mu przekaże.

2. Procesor zobowiązuje się przetwarzać Dane zgodnie z RODO, polskimi przepisami przyjętymi w celu umożliwienia stosowania RODO, innymi obowiązującymi przepisami prawa, Umową Główną, Umową powierzenia oraz instrukcjami Administratora, o których mowa w ust. 1 powyżej.

3. Procesor zobowiązuje się przetwarzać Dane wyłącznie na udokumentowane polecenie Administratora (na podstawie niniejszej Umowy powierzenia lub w ramach instrukcji, o których mowa w ust. 1 powyżej lub w innym oświadczeniu dostarczonym Procesorowi przez Administratora), chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Umowę powierzenia oraz powyższe instrukcje i wystąpienia Administratora nakłada na Procesora obowiązujące prawo. Procesor każdorazowo poinformuje Administratora drogą elektroniczną – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe

przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny.

4. Procesor zobowiązuje się do przetwarzania Danych wyłącznie w zakresie i celu przewidzianym w niniejszej Umowie powierzenia lub Umowie Głównej. Procesor ponosi odpowiedzialność za przetwarzanie danych niezgodnie z postanowieniami Umowy powierzenia, a także z naruszeniem obowiązujących przepisów prawa dotyczących przetwarzania danych osobowych, a w szczególności przepisów RODO.

5. Przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

6. Procesor zobowiązuje się stosować przez cały okres obowiązywania Umowy powierzenia odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych określonych w art. 25 RODO.

7. Procesor zobowiązuje się wspierać Administratora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji obowiązku odpowiadania na żądania osób, których Dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. Współpraca Stron w zakresie wskazanym w zdaniu poprzedzającym powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków przez Administratora. W związku z realizacją tego obowiązku Procesor jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 5 dni, w formie określonej przez Administratora. Procesor powinien również niezwłocznie, jednak nie później niż w terminie 2 dni, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Procesorowi przez Administratora, złożonym u Procesora. Procesor nie będzie jednak odpowiadał na taki wniosek bez uprzedniej zgody lub wyraźnego polecenia Administratora.

8. Procesor zobowiązuje się pomagać Administratorowi wywiązać się z obowiązków określonych w RODO, w tym w szczególności w art. 32–36 RODO.

9. Procesor zobowiązuje się prowadzić w formie pisemnej (w tym elektronicznej) rejestr wszystkich kategorii czynności przetwarzania Danych dokonywanych w imieniu Administratora, zawierający informacje wskazane w Załączniku nr 2 do niniejszej Umowy powierzenia.

10. Procesor zobowiązuje się udostępniać Administratorowi na każde jego żądanie, nie później niż w terminie 3 dni, wszelkie informacje niezbędne do wykazania spełnienia przez Administratora lub Procesora – w zależności od treści żądania Administratora - obowiązków wynikających z właściwych przepisów prawa, w szczególności z RODO, w tym przekazywać informacje o stosowanych zabezpieczeniach, zidentyfikowanych zagrożeniach w obszarze ochrony danych osobowych.

11. Procesor zobowiązuje się niezwłocznie informować Administratora, jeżeli, jego zdaniem, instrukcja Administratora udzielona zgodnie z ust. 1 i 3 powyżej stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych osobowych; informacja w tym przedmiocie powinna zawierać stosowne uzasadnienie i wskazanie przepisu prawa, który, zdaniem Xxxxxxxxx, został naruszony.

12. Procesor zobowiązuje się niezwłocznie, jednak nie później niż w ciągu 2 dni, informować (o ile nie doprowadzi to do naruszenia przepisów obowiązującego prawa) Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania Danych przez Procesora, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania Danych, skierowanej do Procesora, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania Danych przez Procesora, w szczególności prowadzonych

przez organ nadzoru, a także o wszelkich skargach osób związanych z przetwarzaniem ich danych osobowych. Obowiązek ten istnieje nawet po wygaśnięciu lub rozwiązaniu Umowy powierzenia. Administrator, zarówno w czasie obowiązywania Umowy powierzenia, a także po jego wygaśnięciu lub rozwiązaniu ma prawo do:

a) uczestniczenia w kontroli,

b) wnoszenia uwag do treści sprawozdania pokontrolnego,

c) wnoszenia uwag do treści odpowiedzi na pisma i decyzje organu nadzorczego dotyczące chociażby pośrednio przetwarzania powierzonych danych osobowych, jak również uwag do treści odpowiedzi na skargi podmiotów Danych udzielanych przez Procesora.

§ 6

Personel i podwykonawcy Procesora

1. Procesor może zlecić wykonywanie określonych w Umowie Głównej działań wyłącznie pracownikom (personel Procesora) upoważnionym i działającym na polecenie Procesora, zobowiązując te osoby do zachowania standardów ochrony danych osobowych określonych w RODO i w niniejszej Umowie powierzenia. Procesor ponosi odpowiedzialność za działania i zaniechania powyższych osób jak za swoje własne działania lub zaniechania.

2. Procesor zobowiązuje się, że wszystkie osoby dokonujące przetwarzania Danych w imieniu Xxxxxxxxx, przed przystąpieniem do wykonywania tych czynności:

a) podpiszą oświadczenie o odpowiedzialności za ochronę powierzonych danych osobowych. Na żądanie Administratora treść oświadczenia zostanie przedstawiona do akceptacji;

b) zobowiążą się do zachowania tajemnicy lub będą podlegać odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy i będą działać wyłącznie w zakresie udzielonego im upoważnienia, w tym będą podejmować wyłącznie czynności, o których mowa w § 2 powyżej;

c) zostaną przeszkolone z przepisów dotyczących przetwarzania danych osobowych. Szkolenie będzie obejmowało w szczególności następujące zagadnienia:

− podstawowe definicje związane z przetwarzaniem danych, w tym definicję danych osobowych.

− zasady i warunki przetwarzania danych osobowych,

− zasady bezpieczeństwa, w tym zakaz dokonywania bez upoważnienia: odczytu, modyfikacji, powielania, usuwania, zapisywania na nośnikach oraz przekazywania danych w dowolnej formie,

− prawa osób, których dane są przetwarzane,

− zasady zgłaszania naruszeń ochrony danych osobowych.

3. Administrator wyraża ogólną zgodę na to, by Procesor korzystał z usług innego podmiotu przetwarzającego, przy czym:

a) Procesor zobowiązany jest poinformować pisemnie Administratora o wszelkich zamierzonych działaniach dotyczących dodania, zmianach lub zastąpienia innych podmiotów przetwarzających, dając tym samym Administratorowi możliwość wyrażenia sprzeciwu wobec tych działań,

b) brak wyrażonego sprzeciwu w ciągu 14 dni roboczych od daty potwierdzonej wysyłki zawiadomienia uznaje się jako akceptację Administratora działań Procesora,

c) podpowierzenie przetwarzania przez Procesora podmiotowi przetwarzającemu wymaga

formy umowy pisemnej lub zastosowania standardowych klauzul umownych w przypadku, kiedy stroną jest podmiot przetwarzający dane w państwie trzecim,

d) zawarta umowa musi zawierać wszystkie zobowiązania określone w niniejszej Umowie powierzenia oraz precyzować: czas, charakter i cel przetwarzania danych z uwzględnieniem zakresu (lub kategorii) przetwarzanych danych,

e) Procesor ponosi odpowiedzialność za działania i zaniechania powyższych podmiotów jak za swoje własne działania lub zaniechania.

4. Procesor oświadcza, że korzysta lub będzie korzystał wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Na żądanie Administratora Procesor dostarczy informację, jakimi konkretnie kryteriami kierował się przy wyborze podmiotu przetwarzającego i w jakim zakresie te kryteria zostały spełnione.

5. Procesor dostarczy w terminie 5 dni pełną listę podmiotów, którym powierzył przetwarzanie danych na dzień zawarcia niniejszej Umowy powierzenia, wg Załącznika nr 3 do niniejszej Umowy.

§ 7

Kontrola przetwarzania

1. Procesor jest obowiązany do kontroli przebiegu procesu przetwarzania Danych na każdym jego etapie.

2. Administrator ma prawo do kontroli (audytów), czy przetwarzanie Danych jest zgodne z postanowieniami Umowy Głównej, przekazanych instrukcji, niniejszej Umowy powierzenia i przepisami prawa, w szczególności RODO.

3. Procesor umożliwi Administratorowi i będzie współpracował z Administratorem lub upoważnionym przez niego audytorem przy przeprowadzaniu kontroli (audytów) przebiegu procesu przetwarzania Danych.

§ 8

Zgłaszanie naruszeń

1. Procesor jest obowiązany powiadomić Administratora niezwłocznie, jednak nie później niż w ciągu do 24 h od powzięcia informacji, o wystąpieniu zdarzenia dotyczącego przetwarzania Danych, który może nosić znamiona naruszenia przetwarzania danych osobowych, na adres e- mail: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx@xxxxxxx.xxxxxx.xx; nr tel. 000000000 wraz z informacjami wskazanymi w Załączniku nr 4 do niniejszej Umowy powierzenia.

2. W przypadku, gdy w terminie wskazanym w ust. 1 powyżej, przekazanie Administratorowi kompletnych informacji nie jest możliwe, Procesor przekaże Administratorowi posiadane informacje wraz ze wskazaniem terminu przekazania kompletnych informacji. Procesor uzasadni przyczyny opóźnienia w przekazaniu informacji.

3. Przez naruszenie ochrony danych osobowych rozumie się naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych na zlecenie Administratora.

4. Procesor zobowiązuje się współdziałać z Administratorem przy ustalaniu szczegółów związanych ze zgłoszonym naruszeniem, w szczególności przyczyn wystąpienia naruszenia, skutków naruszenia oraz we wdrażaniu środków naprawczych.

§ 9

Odpowiedzialność

1. Procesor zobowiązuje się do współdziałania z Administratorem w celu skutecznego oddalenia roszczeń osób, których dane osobowe zostały powierzone do przetwarzania w ramach Umowy powierzenia, jak również w celu udzielenia wyjaśnień oraz podjęcia wszelkiej możliwej obrony w ramach postępowań wszczętych przez właściwe organy, dotyczących procesu przetwarzania Danych z udziałem Procesora.

2. Jeżeli w związku z zachowaniem Procesora na Administratora zostanie nałożona kara za naruszenie ochrony danych osobowych, wówczas Procesor zapłaci na żądanie Administratora kwotę stanowiącą co najmniej równowartość kary poniesionej przez Administratora oraz zobowiązuje się zwrócić Administratorowi wszystkie koszty poniesione przez niego celem odparcia roszczenia.

3. W przypadku wyegzekwowania przez podmiot Danych od Administratora odszkodowania z tytułu niezgodnego z prawem przetwarzania jego danych osobowych przez Procesora, Procesor zapłaci na żądanie Administratora kwotę stanowiącą co najmniej równowartość sumy pieniężnej wyegzekwowanej od Administratora przez podmiot Danych występujący z takim roszczeniem, oraz zobowiązuje się zwrócić Administratorowi wszystkie koszty poniesione przez niego celem odparcia roszczenia.

§ 10

Czas przetwarzania i rozwiązanie Umowy powierzenia

1. Przetwarzanie Danych na podstawie niniejszej Umowy powierzenia dopuszczalne jest w okresie obowiązywania Umowy Głównej. W celu uniknięcia wątpliwości, rozwiązanie Umowy Głównej skutkuje rozwiązaniem Umowy powierzenia.

2. W przypadku, gdy Procesor narusza zobowiązania wynikające z niniejszej Umowy powierzenia, Administrator może rozwiązać Umowę Główną ze skutkiem natychmiastowym. W szczególności Administrator może rozwiązać łączące Strony umowy ze skutkiem natychmiastowym, jeśli kontrola prowadzona przez właściwy organ lub przez Administratora wykaże, że Procesor nie stosuje zasad opisanych w Umowie powierzenia lub wynikających z RODO albo innych przepisów prawa dotyczących przetwarzania danych osobowych.

3. Procesor z chwilą rozwiązania lub wygaśnięcia Umowy Głównej jest zobowiązany do usunięcia lub zwrotu Danych z własnych nośników i systemów – zależnie od decyzji Administratora, a nośniki z Danymi otrzymanymi od Administratora – zwrócić Administratorowi. Ponadto Procesor zobowiązuje się do zniszczenia wszelkich informacji mogących posłużyć do odtworzenia, w całości lub części, zawartości Danych, w tym do usunięcia wszelkich ich istniejących kopii, chyba że przepisy prawa nakazują przechowywanie. Jeśli Procesor nie usunie Danych, jest obowiązany poinformować w ciągu 14 dni o tym fakcie Administratora wraz z podaniem przepisu prawa, który obliguje Procesora do dalszego przetwarzania Danych.

4. Z czynności usunięcia Danych Procesor sporządza protokół. Procesor zobowiązany jest przekazać Administratorowi protokół w ciągu 14 dni od dnia rozwiązania lub wygaśnięcia Umowy Głównej.

§ 11

Postanowienia końcowe

1. Umowa powierzenia wchodzi w życie z dniem ……………………………………...

2. W sprawach związanych z realizacją Umowy powierzenia wskazuje się dane kontaktowe osób odpowiedzialnych po stronie Administratora i Procesora w Załączniku nr 5 do niniejszej Umowy powierzenia.

3. O zmianie danych zawartych w Załączniku nr 5 każda ze Stron zawiadomi niezwłocznie drugą

Stronę w formie elektronicznej. Zmiana danych zawartych w Załączniku nr 5 nie stanowi zamiany Umowy powierzenia.

4. W sprawach nieuregulowanych postanowieniami Porozumienia zastosowanie mają powszechnie obowiązujące w Polsce przepisy prawa, w tym w szczególności RODO. Sądem właściwym dla sporów wynikających z niniejszej Umowy powierzenia jest Sąd właściwy miejscowo dla Administratora.

5. Wszelkie zmiany i uzupełnienia Umowy powierzenia wymagają zachowania formy pisemnej pod rygorem nieważności.

6. Umowę powierzenia sporządzono w 2 (dwóch) jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.

W imieniu Procesora: W imieniu Administratora:

Załącznik nr 1

Przedmiot przetwarzania

Cel przetwarzania Kategorie osób Kategorie danych osobowych Dane wrażliwe Czas przetwarzania Zasady usuwania / zwrotu danych

Załącznik nr 2

Wzór Rejestru kategorii czynności przetwarzania

REJESTR KATEGORII CZYNNOŚCI PRZETWARZANIA DANYCH - WZÓR	LP.
	Kategorie przetwarzań
	Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa (jeżeli jest to możliwe)
	Administrator	Nazwa i dane kontaktowe administratora
		Nazwa i dane kontaktowe współadministratora
		Nazwa i dane kontaktowe przedstawiciela administratora (jeśli wyznaczono)
		Inspektor ochrony danych administratora (jeśli powołano)
	Czas trwania przetwarzania
	Nazwy państw trzecich lub organizacji międzynarodowych, do których dane są przekazywane
	Dokumentacja odpowiednich zabezpieczeń danych osobowych przekazywanych na podstawie art. 49 ust. 1 akapit drugi
	Podprzetwarzający (podwykonawca) - jeśli dotyczy	Nazwa i dane kontaktowe podprzetwarzającego
		Kategorie podpowierzonych przetwarzań

Załącznik nr 3

Lista podmiotów, którym Procesor podpowierza przetwarzanie danych osobowych

LP	Nazwa podmiotu	Adres podmiotu	Rodzaj powierzonych czynności
1
2
3

Załącznik nr 4

Wzór zgłoszenia naruszenia ochrony danych osobowych

Zgłoszenie naruszenia ochrony danych osobowych nr ………..

Data zgłoszenia: ……………………..

Charakter Naruszenia

• Data Naruszenia

• Czas trwania Naruszenia

• Miejsce zaistnienia Naruszenia

• Data stwierdzenia Naruszenia

• Miejsce stwierdzenia Naruszenia

• Kategorie osób, których dane dotyczą i

których dotyczy Naruszenie

• Przybliżona liczba osób, których dane

dotyczą i których dotyczy Naruszenie

• Kategorie danych osobowych, których

dotyczy Naruszenie

• Przybliżona liczba wpisów danych

osobowych, których dotyczy Naruszenie

Opis możliwych konsekwencji Naruszenia

Opis środków zastosowanych lub

proponowanych przez Podmiot przetwarzający w celu zaradzenia Naruszeniu, w tym w

stosownych przypadkach środków w celu zminimalizowania jego ewentualnych

negatywnych skutków

Czy podane informacje stanowią wszystkie

informacje, które dotyczą Naruszenia ochrony danych osobowych?

Załącznik 5

Dane kontaktowe

	Administrator	Procesor
Imię i nazwisko	Xxx Xxxxxxxxx
Stanowisko	Inspektor Ochrony Danych Osobowych
Nr telefonu	612245227
Adres e-mail	xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx@xxxxxxx.xxxxxx.xx