UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH NR
UMOWA
POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH NR
Zawarta w dniu pomiędzy:
Samodzielny Publiczny Zakład Opieki Zdrowotnej w Nadarzynie
Xx. Xxxxxxxxxx0 00-000 Xxxxxxxx
NIP: 000-00-00-000
reprezentowanym przez:
…………………………………..
zwanym w dalszej części Administratorem lub Stroną,
a
……………………………..
reprezentowanym przez:
…………………………………………….
zwanym w dalszej części Powiernikiem lub Stroną łącznie zwane w dalszej części Stronami.
§ 1 – Postanowienia Ogólne
1. Wszelkie definicje oraz pojęcia użyte w dalszej części Umowy zamieszczone zostały w Załączniku nr 1 i stanowią jedyny zestaw określeń, zdefiniowany na potrzeby niniejszej Umowy.
2. Strony stwierdzają, że użyte definicje są zrozumiałe i nie powodują niejasności w treści Umowy, a Strony jednoznacznie i identycznie rozumieją intencje zapisów Umowy.
§ 2 – Przedmiot i Cel Umowy
1. Strony zawarły umowę zakresie wykonywania badań diagnostyki laboratoryjnej, dalej zwaną Umową Podstawowa, w związku, z wykonywaniem której Administrator powierza Powiernikowi przetwarzanie Danych Osobowych w zakresie określonym w Załączniku nr 2.
2. Niniejsza Umowa jest zawierana w oparciu art. 28 i 29 RODO.
3. Celem Umowy jest ustalenie zasad na jakich Powiernik przetwarza Xxxx Xxxxxxx w imieniu Administratora.
4. Strony zawierając Umowę dążą do takiego uregulowania zasad przetwarzania Danych Osobowych, aby odpowiadały one w pełni
postanowieniom RODO.
§ 3 – Oświadczenia Stron
1. Administrator oświadcza, iż jest administratorem danych w rozumieniu RODO, względem Danych Osobowych wskazanych w Załączniku nr 2 oraz, że jest uprawniony do ich przetwarzania w zakresie, w jakim powierzył je Powiernikowi.
2. Powiernik oświadcza, że zgodnie z art. 28 ust. 3 lit. c RODO, podjął środki zabezpieczające, wymagane na mocy art. 32 RODO, w szczególności:
1. Wdrożył odpowiednie środki techniczne i organizacyjne, by przetwarzanie powierzonych danych spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
2. Wdrożone środki są na poziomie, co najmniej takim, jakiego wymaga w stosunku do Powiernika art. 32 RODO oraz zostały dobrane i są stosowane w oparciu o prowadzoną analizę ryzyka, a także stosownie do zakresu powierzonych Danych Osobowych.
§ 4 – Zasady Przetwarzania Danych Osobowych
1. Powiernik zobowiązuje się przetwarzać powierzone Dane Osobowe wyłącznie w celach związanych z realizacją Umowy Głównej i wyłącznie w zakresie, jaki jest niezbędny do realizacji tych celów.
2. Powiernik nie jest uprawniony do samodzielnego dysponowania powierzonymi mu Danymi Osobowymi. Powiernik nie ma prawa
samodzielnego decydowania o celach i środkach przetwarzania powierzonych mu danych.
3. Przetwarzanie Danych Osobowych przez Powiernika będzie odbywać się wyłącznie na udokumentowane polecenie Administratora. Za udokumentowane polecenie uznaje się zadania zlecone do wykonywania Powiernikowi Umową Główną lub pisemnymi instrukcjami Administratora.
4. Powiernik zobowiązuje się:
1. Biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomagać Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw, zgodnie z art. 28 ust. 3 lit. e RODO (dotyczy wyłącznie przypadku, gdy z przepisów RODO wynika, iż żądania osoby, której dane dotyczą są zasadne).
2. Uczestniczyć w niezbędnym zakresie w realizacji obowiązków Administratora, określonych w art. 32–36 RODO zgodnie z art. 28 ust. 3 lit. f RODO.
3. Zapewnić, że osoby upoważnione do przetwarzania Danych Osobowych będą zobowiązane do zachowania tych danych w tajemnicy, zgodnie z art. 28 ust. 3 lit. b RODO, na podstawie złożonego przez nich zobowiązania lub na podstawie odpowiedniego ustawowego obowiązku zachowania tajemnicy (w przypadku, gdy dane dotyczą osoby, będącej pacjentem, zobowiązanie do zachowania w tajemnicy danych będzie trwać także po śmierci osoby, będącej pacjentem, zgodnie z art. 24 ust. 3 Ustawy o Prawach Pacjenta).
§ 5 – Podpowierzenie
1. Powiernik może powierzyć Dane Osobowe do dalszego przetwarzania podwykonawcom jedynie w celu wykonania Umowy Głównej i jedynie po uzyskaniu uprzedniej pisemnej szczegółowej zgody Administratora.
2. Przekazanie powierzonych Danych Osobowych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora, chyba że obowiązek taki nakłada na Powiernika prawo Unii lub prawo polskie. W takim przypadku przed rozpoczęciem przetwarzania Powiernik niezwłocznie poinformuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
3. Powiernik gwarantuje, że podwykonawca, o którym mowa powyżej, daje te same gwarancje i spełnia obowiązki, jakie zostały nałożone na Powiernika w niniejszej Umowie.
4. Podmiot przetwarzający odpowiada za działania podwykonawcy jak za własne.
§ 6 – Nadzór
1. Administrator jest uprawniony do kontrolowania Powiernika w zakresie przetwarzania Danych Osobowych pod względem zgodności z
postanowieniami Umowy i RODO.
2. Administrator realizować będzie prawo kontroli w godzinach pracy Powiernika i za minimum 3-dniowym uprzedzeniem.
3. Powiernik będzie w pełni współpracował z Administratorem podczas kontroli. Powiernik, w szczególności:
1. zapewni dostęp do obszarów przetwarzania Danych Osobowych oraz dostęp do systemów informatycznych, w których przetwarzane są Dane Osobowe;
2. umożliwi przeprowadzenie wszelkich czynności kontrolnych w celu oceny zgodności przetwarzania Danych Osobowych z obowiązującymi przepisami oraz oceny stosowanych zabezpieczeń (technicznych i organizacyjnych) zapewniających ochronę Danych Osobowych;
3. udostępni wszelkie niezbędne do przeprowadzenia kontroli dokumenty oraz udzieli wyjaśnień;
4. umożliwi przeprowadzenie rozmów z pracownikami (współpracownikami) Powiernika.
4. Powiernik zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora, nie dłuższym niż 7 dni po pisemnym żądaniu Administratora.
5. Administrator w ramach czynności nadzorczych jest uprawniony do żądania od Powiernika, udzielenia informacji związanych z przetwarzaniem Danych Osobowych oraz wypełnienia przez Powiernika obowiązków wynikających z niniejszej Umowy lub RODO. Powiernik zobowiązany jest udostępnić Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w Umowie lub RODO.
6. W ramach czynności nadzorczych i kontrolnych Administrator jest uprawniony do wydawania Podmiotowi przetwarzającemu pisemnych poleceń odnośnie sposobu wykonania Umowy.
§ 7 – Współdziałanie Stron
1. Xxxxxx zgodnie postanawiają, iż podczas obowiązywania niniejszej Umowy będą ze sobą współpracować, udzielając sobie wzajemnie informacji o okolicznościach mających lub mogących mieć wpływ na wykonanie Umowy.
2. Strony zobowiązują się współpracować w przypadku przeprowadzenia u którejkolwiek z nich postępowania kontrolnego przez właściwe organy, w tym w szczególności Prezesa Urzędu Ochrony Danych Osobowych, urzędy państwowe, policję lub sądy w związku z Umową.
§ 8 – Odpowiedzialność
1. Powiernik jest odpowiedzialny za szkody wyrządzone Administratorowi, osobie fizycznej, której Dane Osobowe dotyczą lub innym osobom trzecim w związku z niewykonaniem lub nienależytym wykonaniem Umowy powierzenia, w szczególności niezgodnym z Umową lub RODO.
2. Odpowiedzialność Powiernika wobec Administratora danych obejmuje wszelkie szkody (w tym kary) poniesione przez Administratora na skutek działań lub zaniechań Powiernika, na zasadach ogólnych określonych w RODO lub przepisach Kodeksu cywilnego.
3. Powiernik jest odpowiedzialny za udostępnienie lub wykorzystanie Danych Osobowych niezgodnie z treścią Umowy.
§ 9 –Koordynatorzy Umowy. Adresy do doręczeń
1. Strony wyznaczają Koordynatorów Umowy, odpowiedzialnych za bieżącą koordynację realizacji Umowy:
1. Ze strony Administratora ,
2. Ze strony Powiernika ,
Koordynatorzy są również uprawnieni do pospisywania protokołów, o których mowa w niniejszej Umowie.
2. Zmiana osób pełniących funkcję Koordynatora Umowy nie wymaga zmiany Umowy w formie, podpisanego przez Strony, Aneksu do Umowy, a dla jej skuteczności wystarczające jest pisemne powiadomienie złożone przez jedną Stronę drugiej Xxxxxxx o nowej osobie Koordynatora. Zmiana jest skuteczna od dnia następnego po dniu doręczenia powiadomienia Stronie będącej adresatem oświadczenia.
3. Strony wskazują, że wszelka korespondencja związana z niniejszą Umową winna być kierowana na adresy wskazane w komparycji Umowy. Zmiana adresu korespondencyjnego nie wymaga zmiany Umowy w formie, podpisanego przez Xxxxxx, Xxxxxx do Umowy, a dla jej skuteczności wystarczające jest pisemne powiadomienie złożone przez jedną Stronę drugiej Xxxxxxx o nowym adresie. Zmiana jest skuteczna od dnia następnego po dniu doręczenia powiadomienia Stronie będącej adresatem oświadczenia. Brak powiadomienia o zmianie adresu korespondencyjnego skutkuje uznaniem, wszelkiej korespondencji nadanej na dotychczasowy adres Strony, za skutecznie doręczoną.
§ 10 – Obowiązywanie Umowy
Niniejsza Umowa zostaje zawarta na czas tożsamy z okresem obowiązywania Umowy Głównej, tj. do dnia wygaśnięcia, rozwiązania Umowy Głównej lub odstąpienia od niej przez którąkolwiek ze Stron, nie krócej jednak niż do zakończenia czynności związanych z usunięciem danych opisanych w niniejszej Umowie.
§ 11 – Postępowanie z Danymi po Ustaniu Umowy Głównej
1. Powiernik zobowiązuje się niezwłocznie, nie później niż w terminie 7 dni od dnia wygaśnięcia, rozwiązania Umowy Głównej lub odstąpienia od niej przez którąkolwiek ze Stron, wg polecenia Administratora przekazać lub usunąć lub wszelkie istniejące i będące w jego posiadaniu powierzone Dane Osobowe lub ich kopie. Poprzez usunięcie danych osobowych należy rozumieć takie zniszczenie tych danych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.
2. Przekazania lub usunięcie Danych Osobowych zostanie potwierdzone przez Powiernika jednostronnym Protokołem Usunięcia Danych,
którego wzór stanowi Załącznik nr 3.
3. Obowiązki określone powyżej nie dotyczą przypadków, w których przepisy prawa powszechnie obowiązującego zobowiązują Powiernika do przechowywania dokumentacji zawierającej powierzone Dane Osobowe. W takim przypadku Powiernik obowiązany jest do zachowania poufności tych danych oraz stosowania odpowiednich środków zabezpieczających.
§ 12 – Postanowienia Końcowe
1. Umowa wchodzi w życie z dniem jej zawarcia.
2. Wszelkie zmiany do Umowy wymagają formy pisemnej pod rygorem nieważności i powinny następować w formie Aneksu do Umowy.
3. Do rozpatrywania wszelkich sporów, wynikłych na tle Umowy, właściwy miejscowo jest sąd siedziby Powiernika.
4. W zakresie nieuregulowanym Umową zastosowanie znajdują przepisy prawa powszechnie obowiązującego obowiązujące na terenie Rzeczpospolitej Polskiej, w tym przepisy RODO oraz Kodeksu cywilnego.
5. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
DATA I PODPIS DATA I PODPIS
REPREZENTANTA LUB PEŁNOMOCNIKA ADMINISTRATORA REPREZENTANTA LUB PEŁNOMOCNIKA POWIERNIKA
……………………………………………………………………………………. ……………………………………………………………………………..
Załącznik nr 1
DEFINICJE I POJĘCIA
Na potrzeby niniejszej Umowy, Strony ustalają następujące definicje i pojęcia:
1. Administrator – zgodnie z art. 4 pkt 7) RODO, podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania Danych Osobowych.
2. Dane Dotyczące Zdrowia – zgodnie z art. 4 pkt 15) RODO, Xxxx Xxxxxxx o zdrowiu fizycznym lub psychicznym osoby fizycznej - w tym
o korzystaniu z usług opieki zdrowotnej - ujawniające informacje o stanie jej zdrowia.
3. Xxxx Xxxxxxx – zgodnie z art. 4 pkt 1) RODO, informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
4. Podpowiernik – podmiot, z usług którego korzysta Powiernik przy przetwarzaniu Danych Osobowych w imieniu Administratora.
5. Powiernik – podmiot przetwarzający zgodnie z art. 4 pkt 8) RODO, tj. podmiot, który przetwarza dane osobowe w imieniu
Administratora.
6. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych).
7. Strony – łączna nazwa na Administratora i Powiernika.
8. Umowa – niniejszy dokument, umowa regulująca zasady przetwarzania przez Powiernika powierzonych mu przez Administratora
Danych Osobowych.
--------------------------------
SZCZEGÓŁOWY ZAKRES PRZETWARZANYCH DANYCH OSOBOWYCH
Załącznik nr 2
Lp. | KATEGORIE OSÓB, KTÓRYCH DANE DOTYCZĄ | RODZAJ DANYCH OSOBOWYCH |
1. | Pacjenci | Xxxx, nazwisko, XXXXX, adres, nr telefonu, wyniki badań, dane medyczne |
2. | ||
3. | ||
4. | ||
5. |
--------------------------------
PROTOKÓŁ USUNIĘCIA/PRZEKAZANIA DANYCH OSOBOWYCH*
Załącznik nr 3
Lp. | Dane | ADMINISTARATOR | POWIERNIK |
1 | Strona | ||
2 | Nazwa | ||
3 | Adres | ||
4 | Skład komisji | ||
5 | Data i godzina | ||
6 | Przedmiot (Umowa) | ||
7 | Uwagi |
Powiernik niniejszym oświadcza, że:
1) usunął wszelkie istniejące i będące w jego posiadaniu Xxxx Xxxxxxx lub ich kopie, powierzone Powiernikowi przez
Administratora/
2) przekazał Xxxx Xxxxxxx, powierzone Powiernikowi przez Administratora, ponadto Powiernik oświadcza, że niezwłocznie po przekazaniu danych Administratorowi usunie wszelkie istniejące i będące w jego posiadaniu kopie Danych Osobowych.*
Poprzez usunięcie Danych Osobowych należy rozumieć takie zniszczenie tych danych lub taką ich modyfikację, która nie pozwoli na
ustalenie tożsamości osoby, której dane dotyczą.
Protokół został sporządzony w dwóch jednobrzmiących egzemplarzach po jednym dla każdej ze Stron.
*niepotrzebne skreślić