W Łodzi w dniu pomiędzy:

W Łodzi w dniu pomiędzy:

1/ Wojewódzkim Wielospecjalistycznym Centrum Onkologii i Traumatologii im. M. Kopernika w Łodzi, xx. Xxxxxxxxxx 00, 00-000 Xxxx (REGON 000295403, NIP 000-00-00-000), wpisanym do Rejestru Stowarzyszeń, Innych Organizacji Społecznych i Zawodowych, Fundacji i Publicznych Zakładów Opieki Zdrowotnej prowadzonego przez Sąd Rejonowy dla Łodzi – Śródmieścia w Łodzi, XX Wydział Krajowego Rejestru Sądowego pod numerem KRS0000004955

reprezentowanym przez Dyrektora - Xxxxxxxxx Xxxxxxxxx zwanym dalej „ Udzielającym zamówienie"

2/ …………………………………

reprezentowaną przez:

…………………………………………………………………………… zwanym dalej „ Przyjmującym zamówienie"

3/

………………………. siedzibą …………………………. przy ul. …………………………., , reprezentowaną przez:

………………………………………….. – …………………………………………… zwaną w treści umowy Subprocesorem

Zważywszy, że Udzielający zamówienie i Przyjmujący zamówienie w dniu …………..r. zawarli umowę na usługi

…………………………………………. („Umowa główna”), i strony tej umowy dopuszczają możliwość podwykonawstwa na rzecz Przyjmującego zamówienie

Zważywszy, że Przyjmujący zamówienie korzysta z systemów informatycznych, sprzętu informatycznego oraz aparatury medycznej, w których przetwarza powierzone przetwarzania przez Udzielającego zamówienie dane osobowe,

Zważywszy, że Przyjmujący zamówienie zleca Subprocesorowi określone czynności w zakresie obsługi systemów informatycznych i urządzeń, o których mowa w zdaniu poprzednim Subprocesorowi, w ramach której Subprocesor będzie miał możliwość dostępu do Danych Osobowych

Strony widząc konieczność zawarcia umowy o powierzaniu przetwarzania danych osobowych, zgodnie z przepisem art. 31 ust. 1 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (zwaną dalej UODO) postanawiają, co następuje:

§ 1

W niniejszej umowie zastosowano następujące definicje:

RODO –Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych)

Subprocesor – Podwykonawca Przyjmującego zamówienie, który na rzecz Przyjmującego zamówienie będzie wykonywał czynności, w trakcie których będzie miał możliwość przetwarzania powierzonych do przetwarzania przez Udzielającego zamówienie danych osobowych a dostęp do tych danych będzie niezbędny do realizacji zleconych przez Przyjmującego zamówienie usług na jego rzecz.

§ 2

1. Na podstawie art. 31 ustawy z dnia 27.08.1997 r. o ochronie danych osobowych zwanej dalej ustawą (Dz.U.2016.poz.982 z xxxx.xx.) Udzielający zamówienia powierzył Przyjmującemu zamówienie w ramach Umowy głównej przetwarzanie następujących danych osobowych :

a) tych pacjentów, których materiał biologiczny wraz ze skierowaniem na badanie wystawionym przez Udzielającego zamówienie przekaże Przyjmującemu zamówienie,

b) tych pacjentów, których wyniki badań archiwalnych powierzy do używania w aplikacji webowej służącej do przeglądania wyników , do którego ma dostęp Przyjmujący zamówienie, a z którego korzysta w celu zapewnienia kompleksowości świadczeń personel Udzielającego zamówienie

c) Użytkowników aplikacji webowej służącej do przeglądania wyników badań wprowadzonych przez Przyjmującego zamówienie.

zwanych dalej Danymi Osobowymi

2. W odniesieniu do danych osobowych, o których mowa w:

a) pkt.1 lit. a) oraz lit c) na podstawie:

- ustawie z 6 listopada 2008r. o prawach pacjenta i rzeczniku Praw Pacjenta (t.j. Dz.U. 2017 poz. 1381 z xxxx.xx.),

- ustawie z dnia 27 lipca 2001r. o diagnostyce laboratoryjnej (t.j. Xx. X. x 0000x. poz. 2245 z xxxx.xx.)

- Rozporządzenie Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania (Dz.U. z 2015r. poz. 2069),

- Rozporządzenia Ministra Zdrowia z dnia 23 marca 2006 r. w sprawie standardów jakości dla medycznych laboratoriów diagnostycznych i mikrobiologicznych (Dz.U. 2016 nr 1665.),

Przyjmujący zamówienie stał się odrębnym administratorem danych osobowych i będzie je przetwarzał zgodnie z obowiązującymi normami prawnymi. Udzielający zamówienia nie ponosi odpowiedzialności w tym zakresie.

b) pkt. 2 lit. b) administratorem tych danych jest wyłącznie Udzielający zamówienie. Przyjmujący zamówienie zobowiązany jest nie później niż 14 dni od chwili zakończenia niniejszej Umowy usunąć ze swoich zasobów te dane w sposób uniemożliwiający ich odtworzenie, chyba, że Przyjmujący zamówienie będzie kontynuował usługi laboratoryjne na podstawie nowo zawartej umowy. Z czynności brakowania tych danych Przyjmujący zamówienie sporządzi raport i dostarczy Udzielającemu zamówienie.

3. Udzielający zamówienia wyraża zgodę na podpowierzenie przez Przyjmujacego zamówienie Subprocesorowi przetwarzanie Danych Osobowych zwykłych (imię i nazwisko, adres zamieszkania, data urodzenia, PESEL) oraz danych sensytywnych (informacje o stanie zdrowia, materiał biologiczny), wyłącznie w celu realizacji zleceń niezbędnym do wykonania czynności, o których mowa w preambule na zasadach określonych poniżej.

4. Przyjmujący zamówienie podpowierza przetwarzanie Danych Osobowych Subprocesorowi w zakresie - niezbędnym do wykonania czynności, o których mowa w preambule

5. Subprocesor i Przyjmujący zamówienie oświadczają, że powierzone do przetwarzania dane osobowe nie będą poddawane dalszemu przetwarzaniu w sposób niezgodny z niniejszą Umową.

6. Subprocesor i Przyjmujący zamówienie zobowiązują się do zachowania poufności informacji, o których jest mowa w ust.1 niniejszego paragrafu, w czasie trwania umowy i po ich zakończeniu.

7. Zabrania się wykonywania przez Subprocesora i Przyjmującego zamówienie nieuzasadnionych kopii, gromadzenia, przechowywania jakichkolwiek danych, z wyłączeniem sytuacji gdy jest to niezbędne do realizacji Umowy Głównej za pisemną zgodą Udzielającego zamówienie. Zabrania się udostępniania danych nośników informacji zawierających dane o których mowa w ust. 1 osobom do tego nieuprawnionym.

8. Strony wyłączają możliwość udostępnienia przez Subprocesora i Przyjmującego zamówienie powierzonych do przetwarzania Danych Osobowych innym podmiotom.

9. Za udostępnienie, o którym mowa w ust. 8 należy rozumieć x.xx.:

a) przekazanie informacji lub nośnika z danymi,

b) weryfikację danych,

c) wyzbycie się danych,

d) powierzenie danych,

e) umożliwienie wglądu do danych,

f) upublicznienie danych.

10. Subprocesor i Przyjmujący zamówienie zobowiązuje się do zachowania w tajemnicy wszelkich informacji, które uzyska w trakcie realizacji niniejszej umowy, chyba że obowiązek taki będzie wynikać z przepisów prawa.

§ 3

1. Subprocesor oświadcza, że dysponuje środkami umożliwiającymi prawidłowe przetwarzanie i zabezpieczenie danych osobowych, co najmniej w zakresie, o którym mowa w art. 36 – 39 ustawy, a jego systemy informatyczne i aplikacje spełniają wymagania określone w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29.04.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczny służące do przetwarzania danych osobowych (Dz.U.2004.100.1024 z xxxx.xx.) x.xx.:

- politykę bezpieczeństwa informacji,

- instrukcję zarządzania systemem informatycznym,

- zabezpieczenia techniczne i organizacyjne.

2. Subprocesor zobowiązuje się do zastosowania przy przetwarzaniu Danych Osobowych środków technicznych i organizacyjnych zapewniających ochronę danych osobowych co najmniej w zakresie określonym w art. 36-39 ustawy o ochronie danych osobowych, w szczególności określonych w §4.

3. W zakresie przestrzegania przepisów, o których mowa w ust.1 Subprocesor ponosi odpowiedzialność jak administrator danych.

4. W przypadku uchylenia lub zmian przepisów, o których mowa w ust. 1, Subprocesor zobowiązuje się do respektowania i przestrzegania norm prawnych zastępujących dotychczasowe przepisy.

5. Subprocesor oświadcza, że zna i zobowiązuje się do stosowania zasad przetwarzania i ochrony danych osobowych określonych w RODO, a w szczególności przepis art. 28 tego Rozporządzenia

6. W przypadku naruszenia zasad bezpieczeństwa w zakresie poufności lub integralności danych osobowych Subprocesor niezwłocznie powiadomi Udzielającego zamówienia tzn. w czasie umożliwiającym dokonanie przez Udzielającego zamówienia zgłoszenia w terminie, o którym mowa w art.33 ust.1 RODO.

§ 4

1. Subprocesor zobowiązuje się w szczególności do:

a) zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, a w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem,

b) dopuszczenia do przetwarzania powierzonych danych osobowych, w tym obsługi systemu informatycznego, aplikacji oraz urządzeń wchodzących w ich skład służących do przetwarzania danych, wyłącznie osób posiadających wydane przez niego stosowne upoważnienie do przetwarzania danych osobowych,

c) prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych,

d) dochowania szczególnej staranności, aby osoby, o których mowa w pkt b) zachowały je w tajemnicy, również po zakończeniu realizacji Umowy powierzenia, między innymi poprzez poinformowanie ich o prawnych konsekwencjach naruszenia poufności danych oraz odebranie oświadczeń o zachowaniu w tajemnicy tych danych, o których mowa w art. 49-52 ustawy o ochronie danych osobowych,

e) zapewnienia kontroli nad prawidłowością przetwarzania danych.

f) zapewnienia by dostęp do Danych Osobowych zawartych w zleceniach oraz wynikach zleconych przez Udzielającego zamówienie badań miały tylko osoby uprawnione tzn. po stronie Przyjmującego zamówienie: osoby zatrudnione przez Przyjmującego zamówienie lub Subprocesora realizujące zadania objęte niniejszą Umową, po stronie Udzielającego zamówienie: osoby wskazane przez Udzielającego zamówienie.

2. Subprocesor zobowiązuje się, że powierzone do przetwarzania dane nie zostaną przekazane do państwa trzeciego, w tym również do podmiotów powiązanych (spółki macierzyste, etc.).

3. Udzielający zamówienie jest uprawniony do kontrolowania Subprocesora w zakresie przetwarzania powierzonych danych osobowych, pod względem zgodności z umową oraz przepisami ochrony danych osobowych.

4. W celu wykonania kontroli upoważnieni pracownicy Udzielającego zamówienia mają prawo:

a) wstępu do pomieszczeń, w których przetwarzane są powierzone do przetwarzania dane osobowe, i przeprowadzenia niezbędnych czynności kontrolnych,

b) żądania złożenia pisemnych i ustnych wyjaśnień w celu ustalenia stanu faktycznego,

c) przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania powierzonych do przetwarzania danych osobowych,

5. Z czynności kontrolnych sporządza się protokół, którego egzemplarz doręcza się Przyjmującemu zamówienie i Subprocesorowi.

6. Po kontroli, o której mowa w pkt. 3 Udzielający zamówienia może zredagować i żądać wykonania zaleceń pokontrolnych, o ile są one zgodne z Umową powierzenia, oraz określić termin ich realizacji. Niezastosowanie się do zaleceń pokontrolnych będzie traktowane jako ciężkie naruszenie warunków Umowy głównej i może skutkować rozwiązaniem Umowy głównej z winy Przyjmującego zamówienie.

7. Za naruszenie przepisów dotyczących ochrony danych osobowych z przyczyn leżących po stronie Przyjmującego zamówienie lub Subprocesora, w następstwie którego Udzielający zamówienia – jako Administrator Danych Osobowych – zostanie obciążony grzywną lub zobowiązany do wypłaty odszkodowania Przyjmujący zamówienie wraz z Subprocesorem ponosi solidarną odpowiedzialność w zakresie zwrotu poniesionych z tego tytułu kwot przez Udzielającego zamówienie.

…………………..………….

Subprocesor

…………………..…………. Przyjmujący zamówienie

…………………..…………. Udzielający Zamówienie