Umowa powierzenia przetwarzania danych osobowych (zwana dalej „Umową”)
Umowa powierzenia przetwarzania danych osobowych (zwana dalej „Umową”)
zawarta w dniu pomiędzy:
………………………………………………….………………………………………………....
………………………………………………….………………………………………………....
………………………………………………….………………………………………………....
………………………………………………….………………………………………………....
reprezentowaną przez: ……………………………..
zwanym w dalszej części Umowy „Podmiotem przetwarzającym”, a
Samodzielnym Publicznym Zakładem Opieki Zdrowotnej w Mławie, xx. Xxxx Xxxxxxxxx 0, 00-000, Xxxxx wpisanym do Rejestru Stowarzyszeń, innych organizacji społecznych i zawodowych, Fundacji oraz Samodzielnych Publicznych Zakładów Opieki Zdrowotnej przez Sąd Rejonowy dla M. ST. Warszawy w Warszawie, XIV Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000032386, NIP: 5691426619, REGON: 000302474
reprezentowanym przez:
Xxxxxxxxx Xxxxxx – Dyrektora
zwanym w dalszej części Umowy „Administratorem danych” lub „Administratorem”,
§ 1
Powierzenie przetwarzania danych osobowych
1. Administrator danych powierza Podmiotowi przetwarzającemu dane osobowe do przetwarzania w trybie art. 28 ogólnego rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE.L Nr 119, str. 1) (zwanego w dalszej części Umowy „Rozporządzeniem” lub „RODO”), na zasadach, w zakresie i w celu określonych
w niniejszej Umowie.
2. Podmiot przetwarzający zobowiązuje się do przetwarzania powierzonych mu danych osobowych zgodnie z niniejszą Umową, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego o ochronie danych osobowych.
3. Podmiot przetwarzający będzie przetwarzał powierzone dane osobowe wyłącznie na udokumentowane polecenie Administratora. Udokumentowane polecenia
Administratora nie mogą powodować rozszerzenia obowiązków Podmiotu przetwarzającego wynikających z umowy, o której mowa w § 2 ust. 2, ani zmiany zakresu danych powierzonych
do przetwarzania.
§ 2
Zakres i cel przetwarzania danych
1. Podmiot przetwarzający będzie przetwarzał powierzone na podstawie Umowy dane: dane zwykłe oraz dane szczególnych kategorii, w tym dane osobowe dzieci, dotyczące:
a) pracowników, współpracowników Administratora, w zakresie
• Danych identyfikacyjnych
• Numerów identyfikacyjnych,
• Tytułu zawodowego,
• Stanowiska oraz numeru prawa wykonywania zawodu,
• Numerów kontaktowych,
• Innych informacji lub danych, w zakresie niezbędnym do należytego wykonania Umowy, o której mowa w ust. 2.
b) pacjentów Administratora, w zakresie:
• Danych identyfikacyjnych,
• Numerów identyfikacyjnych, w tym nr PESEL,
• Stanu zdrowia i historii leczenia,
• Obrazów diagnostycznych,
2. Dane osobowe powierzone przez Administratora danych będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu realizacji umowy nr zawartej pomiędzy
Podmiotem przetwarzającym, a Administratorem.
3. Podmiot przetwarzający jest upoważniony do wykonywania następujących czynności przetwarzania powierzonych danych: utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie – które są w minimalnym zakresie niezbędne do realizacji celu, o którym mowa w ust. 2 powyżej.
4. Zakres danych osobowych wymienionych w ust. 1 jest maksymalnym katalogiem danych, które mogą być przetwarzane w związku z realizacją Umowy. Dane mogą być przekazywane przez Administratora w mniejszym zakresie bez uszczerbku dla postanowień Umowy.
§ 3
Obowiązki Podmiotu przetwarzającego
1. Podmiot przetwarzający przy przetwarzaniu powierzonych danych osobowych zobowiązuje się do ich zabezpieczenia przez stosowanie odpowiednich środków technicznych i organizacyjnych, odpowiadających stanowi wiedzy technicznej, zapewniających zgodność z Rozporządzeniem, uwzględniając koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym
prawdopodobieństwie wystąpienia i wadze zagrożenia, tak aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
a) pseudonimizację i szyfrowanie danych osobowych;
b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
2. Administrator oświadcza, że zapoznał się z listą środków technicznych i organizacyjnych określoną w ust. 1 oraz Załączniku nr 1, akceptuje ją i ocenia jako adekwatną.
3. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
4. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane osobowe, przy czym będą to jedynie osoby, które mają odpowiednie przeszkolenie z zakresu ochrony danych osobowych i są niezbędne do realizacji celu niniejszej Umowy.
5. Podmiot przetwarzający zapewnia, że osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej Umowy, zobowiążą się do zachowania tajemnicy lub będą podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy, o której mowa w art. 28 ust. 3 lit. b Rozporządzenia, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.
6. Dla prawidłowej realizacji ust. 4 Podmiot Przetwarzający dokonuje okresowej weryfikacji listy osób, którym udzielono dostępu do danych przetwarzanych w imieniu Administratora.
7. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem niezwłocznie usuwa wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
8. Podmiot przetwarzający pomaga Administratorowi, w miarę możliwości i biorąc pod uwagę charakter przetwarzania, poprzez odpowiednie środki techniczne i organizacyjne, a także uwzględniając dostępne mu informacje, w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osób, których dane dotyczą, oraz z obowiązków określonych w art. 32–36 Rozporządzenia. Podmiot przetwarzający – w razie wpływu do niego żądania w zakresie realizacji praw osób, których dotyczą powierzone dane – informuje o tym Administratora w terminie 5 dni roboczych od otrzymania wiadomości. Udzielając informacji, Xxxxxxx przetwarzający przekazuje dane nadawcy i treść żądania.
9. W przypadku stwierdzenia jakiegokolwiek naruszenia ochrony danych osobowych Podmiot przetwarzający zgłasza je Administratorowi w ciągu 12 godzin od stwierdzenia naruszenia, w formie email na adres określony w ust. 11.
10. Podmiot przetwarzający zobowiązuje się niezwłocznie, a najpóźniej w terminie do 72 godzin od wystąpienia zdarzenia, zawiadamiać Administratora o każdym:
1) żądaniu udostępnienia powierzonych danych osobowych;
2) udostępnieniu powierzonych danych osobowych uprawnionemu podmiotowi;
3) żądaniu osoby, której dane dotyczą, związanym z wypełnianiem jej praw wynikających z RODO.
11. W sprawach związanych z ochroną danych osobowych Podmiot przetwarzający będzie kontaktował się z Administratorem za pośrednictwem adresu: xxx@xxxxxxxxxxxx.xx
12. Podmiot przetwarzający oświadcza, że wyznaczył Inspektora Ochrony Danych, w z którym można kontaktować się pod adresem: …………………………..
13. Podmiot przetwarzający zobowiązany jest prowadzić rejestr kategorii czynności przetwarzania dokonywanych w imieniu Administratora dla powierzonych danych oraz rejestr osób upoważnionych do przetwarzania powierzonych danych osobowych.
§ 4
Prawo kontroli
1. Zgodnie z art. 28 ust. 3 lit. h Rozporządzenia Administrator danych ma prawo kontroli, mającej na celu weryfikację, czy Podmiot przetwarzający spełnia obowiązki wynikające z niniejszej Umowy.
2. Administrator danych będzie realizować prawo kontroli w godzinach pracy Podmiotu przetwarzającego i z minimum 14 dniowym uprzedzeniem. Powiadomienie o kontroli powinno wskazywać osoby uprawnione (audytorzy) ze strony Administratora do przeprowadzenia kontroli oraz jej termin i zakres. Administrator zobowiąże audytora do zachowania poufności informacji, w posiadanie których wejdzie w związku z przeprowadzonym audytem oraz przedstawi na żądanie Podmiotu przetwarzającego – przed przystąpieniem do audytu – kopię stosownej umowy o zachowaniu poufności zawartej
z takim audytorem. Podmiot przetwarzający w terminie 3 dni roboczych po otrzymaniu informacji, o której mowa powyżej, potwierdzi możliwość przeprowadzenia czynności kontrolnych w terminie proponowanym przez Administratora lub wskaże inny, proponowany termin kontroli. Administrator zobowiązany jest realizować czynności kontrolne
z zapewnieniem ochrony tajemnicy przedsiębiorstwa Podmiotu przetwarzającego oraz z poszanowaniem organizacji pracy Podmiotu przetwarzającego i obowiązujących u Podmiotu przetwarzającego regulaminów/procedur wewnętrznych.
3. Administrator jednocześnie oświadcza, że jako audytor nie zostanie wyznaczony podmiot prowadzący pośrednio (w tym poprzez uczestniczenie w spółce kapitałowej lub osobowej) lub bezpośrednio działalność konkurencyjną w stosunku do Podmiotu przetwarzającego.
4. Prawo do przeprowadzenia kontroli obejmuje przede wszystkim skierowanie do Podmiotu przetwarzającego pytań/ankiety dotyczących przetwarzania danych osobowych, a jeśli informacje zawarte w odpowiedzi na pytania lub ankiety okażą się niewystarczająca – inspekcję w siedzibie Podmiotu przetwarzającego (przy czym wszelkie czynności wykonywane w siedzibie Podmiotu przetwarzającego będą realizowane przy jego udziale).
5. Administrator zobowiązuje się do przekazania Podmiotowi przetwarzającemu – w terminie 3 dni roboczych po zakończeniu kontroli - pisemnego raportu z przeprowadzonej kontroli podpisanego przez obydwie Strony wraz z ewentualnymi – jeżeli okaże się to konieczne – ustaleniami Stron co do zakresu, warunków i terminu wprowadzenia przez Podmiot przetwarzający zmian w zakresie przetwarzania powierzonych danych osobowych. Wszelkie informacje uzyskane przez Administratora podczas ww. kontroli, jak również jej wyniki oraz treść raportu z kontroli, stanowią tajemnicę przedsiębiorstwa Podmiotu przetwarzającego.
6. Powyżej określone zasady kontroli Podmiotu Przetwarzającego mają zastosowanie do przeprowadzanych przez Administratora kontroli podwykonawców Podmiotu przetwarzającego, o których mowa w § 6 ust. 1 Umowy.
7. Strony postanawiają, że Administrator uprawniony będzie do przeprowadzenia maksymalnie jednej kontroli w okresie 12 miesięcy, chyba, że Administrator zidentyfikuje naruszenie ochrony danych powierzonych na podstawie Umowy do przetwarzania przez Podmiot przetwarzający. W takim przypadku powyższe limity w zakresie liczby kontroli w danym roku nie obowiązują.
§ 5
Raportowanie
1. Na wniosek Administratora Podmiot przetwarzający udostępnia wszelkie informacje niezbędne do realizacji lub wykazania spełnienia obowiązków wynikających z art. 28 Rozporządzenia.
2. Informacji, o których mowa w ust. 1, udziela się w terminie 10 dni roboczych od dnia doręczenia wniosku, z zastrzeżeniem ust. 3.
3. Jeżeli wniosek, o którym mowa w ust. 1, dotyczy realizacji obowiązku zgłoszenia naruszenia ochrony danych osobowych lub usunięcia jego skutków, Podmiot przetwarzający udziela informacji w najbliższym możliwym terminie, nie później niż w ciągu 12 godzin od doręczenia wniosku. Termin wskazany w zdaniu poprzedzającym nie dotyczy przekazywania informacji, o których mowa w §3 ust. 9.
§ 6
Dalsze powierzenie danych do przetwarzania
1. Podmiot przetwarzający może powierzyć dane osobowe objęte niniejszą Umową do dalszego przetwarzania podwykonawcom jedynie w celu wykonania Umowy po uzyskaniu uprzedniej pisemnej zgody Administratora danych.
2. Administrator oświadcza, iż wniesienie przez niego sprzeciwu wobec dalszego powierzenia przetwarzania danych osobowych może uniemożliwić realizację umowy, o której mowa w §2 ust. 2.
3. Podwykonawca, o którym mowa ust. 1 Umowy winien spełniać te same gwarancje i obowiązki jakie zostały nałożone na Podmiot przetwarzający w niniejszej Umowie.
4. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na udokumentowane polecenie Administratora danych, chyba że taki obowiązek nakłada na Podmiot przetwarzający prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem
przetwarzania Podmiot przetwarzający informuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
5. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się z obowiązków spoczywających na podwykonawcy, wynikających z niniejszej Umowy.
§ 7
Odpowiedzialność Podmiotu przetwarzającego
1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienie osobom nieupoważnionym powierzonych do przetwarzania danych osobowych. W takim przypadku Administrator jest uprawniony do nałożenia na Podmiot przetwarzający kary umownej w wysokości 3.000,00 PLN (słownie złotych: trzy tysiące i 00/100) za każdy stwierdzony i udowodniony przypadek naruszenia ochrony, o którym mowa w zdaniu pierwszym.
2. Podmiot przetwarzający w przypadku niedopełnienia obowiązku określonego w § 3 ust. 10 będzie zobowiązany do zapłaty na rzecz Administratora kary umownej w wysokości 500,00 PLN (słownie złotych: pięćset i 00/100) za każdy rozpoczęty dzień opóźnienia.
3. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych
w Umowie, o jakiejkolwiek decyzji administracyjnej lub jakimkolwiek orzeczeniu dotyczących przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora danych oraz obowiązek ten nie dotyczy sytuacji, w której przepisy prawa lub decyzja / orzeczenie właściwego organu uniemożliwia
/ zakazuje przekazywania takich informacji.
4. Podmiot przetwarzający w przypadku niedopełnienia obowiązku określonego w § 3 ust. 9 będzie zobowiązany do zapłaty na rzecz Administratora kary umownej w wysokości 3000,00 PLN (słownie złotych: trzy tysiące i 00/100) za każdy rozpoczęty dzień opóźnienia.
5. Kary umowne przewidziane w niniejszym paragrafie podlegają sumowaniu, co oznacza, że naliczenie kary umownej z jednego tytułu nie wyłącza możliwości naliczenia kary umownej z innego tytułu, jeżeli istnieją ku temu podstawy.
6. Podmiot przetwarzający jest zobowiązany do zapłaty kar umownych, o których mowa powyżej, w terminie 14 dni od dnia otrzymania od Administratora wezwania do zapłaty kary umownej.
7. Administrator jest uprawniony do dochodzenia odszkodowania przewyższającego wysokość kar umownych na zasadach ogólnych.
8. Strony zgodnie postanawiają, że odpowiedzialność Podmiotu przetwarzającego z tytułu utraconych korzyści Administratora jest wyłączona.
§ 8
Czas obowiązywania Umowy
Niniejsza Xxxxx obowiązuje od dnia jej zawarcia przez czas obowiązywania umowy, o której mowa w §2 ust. 2 oraz wykonania obowiązków wynikających z Umowy oraz przepisów prawa.
§ 9
Rozwiązanie Umowy
1. Administrator danych może rozwiązać niniejszą Umowę ze skutkiem natychmiastowym, z zastrzeżeniem okresu niezbędnego dla zaprzestania czynności związanych z przetwarzaniem danych gdy Podmiot przetwarzający:
a) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w uzgodnionym terminie,
b) pomimo wezwania go do zmiany sposobu przetwarzania danych w odpowiednim terminie przetwarza dane osobowe w sposób niezgodny z Umową,
c) powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora danych.
2. W przypadku rozwiązania Umowy przez Administratora, umowa, o której mowa w §2 ust. 2 będzie mogła być wykonywana przez Podmiot przetwarzający tylko w takim zakresie, w jakim nie jest niezbędne przetwarzanie danych osobowych.
§ 10
Postanowienia końcowe
1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach dla każdej ze Stron.
2. W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego oraz Rozporządzenia.
3. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej Umowy będzie sąd właściwy dla siedziby powoda.
4. Strony zobowiązują się do wypełnienia obowiązków informacyjnych względem swoich pracowników oraz współpracowników w związku z zawartą umową, o której mowa w
§2 ust. 2. Obowiązek informacyjny Wykonawcy stanowi Załącznik nr 2 do niniejszej umowy.
5. Załączniki do Umowy stanowią jej integralną część.
Załączniki:
1. Załącznik nr 1 – Wykaz środków technicznych i organizacyjnych stosowanych przez Podmiot przetwarzający;
2. Załącznik nr 2 – Klauzula informacyjna dla przedstawicieli kontrahenta (wpisanych do umowy jako osoby uprawnione do kontaktu w związku z realizacją umowy);
3. Załącznik nr 3 – formularz zgłoszenia naruszenia dla podmiotu przetwarzającego;
Administrator danych Podmiot przetwarzający