UMOWA powierzenia przetwarzania danych osobowych

UMOWA
powierzenia przetwarzania danych osobowych

zawarta w dniu …............ 2018 r., w Gdańsku, pomiędzy:

COPERNICUS Podmiot Leczniczy Spółka z ograniczoną odpowiedzialnością z siedzibą w Gdańsku,
ul. Xxxx Xxxxxx 0-0, 00-000 Xxxxxx, wpisaną do rejestru przedsiębiorców, przez Sąd Rejonowy Gdańsk-Północ w Gdańsku, VII Wydział Gospodarczy Krajowego Rejestru Sądowego, kapitał zakładowy – 268.998.000,00 zł pod numerem KRS: 0000478705, NIP: 5833162278, reprezentowany przez:

Xxxxxxxx Xxxxxxxxx

zwanym dalej „Powierzającym” lub „Administratorem

a

Firmą .................................................................................., kod pocztowy ….........................., wpisaną do Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy ….................... w …........................, …...........Wydział Gospodarczy, pod numerem KRS: ….........................., NIP: …..............................

reprezentowaną przez:

........................................................................................................

zwaną dalej „Przetwarzającym



Mając na uwadze, że:

- Strony zawarły umowę nr ….............................. z dnia ….................................. („Umowa Odrębna”), dotyczącą ….................................................................................................... , w związku z wykonywaniem której konieczne jest powierzenie Przetwarzającemu przetwarzania danych osobowych w zakresie określonym niniejszą umową;

- niniejsza umowa (dalej „Umowa”) ma na celu uregulowanie warunków, na jakich Przetwarzający wykonuje operacje przetwarzania danych osobowych w imieniu i na zlecenie Administratora na zasadach przewidzianych w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1) – dalej „RODO”,

Xxxxxx postanowiły zawrzeć niniejszą umowę, o następującej treści:



§ 1

ZAKRES I CEL PRZETWARZANIA DANYCH

  1. W celu prawidłowego wykonania Umowy Odrębnej, w ramach wynagrodzenia w niej określonego, Administrator powierza Przetwarzającemu przetwarzanie dalej opisanych danych osobowych na zasadach określonych Umową i Umową Odrębną.

  2. Powierzenie przetwarzania danych osobowych następuje wyłącznie w celu umożliwienia wykonywania przez Przetwarzającego świadczeń będących przedmiotem Umowy odrębnej tj. …......................................................................

  3. Przetwarzane dane dotyczą następującej kategorii osób:

a) pracownicy powierzającego wyznaczeni do kontaktów z przetwarzającym,

b) pacjentów powierzającego,

  1. Kategorie danych osobowych powierzone do przetwarzania:

dane zwykłe:

1) imię i nazwisko,

2) data urodzenia,

3) płeć,

4) numer PESEL

5) adresy zamieszkania/zameldowania,

6) adresy e-mail,

7) numery telefonów,

dane szczególnych kategorii - dane dotyczące zdrowia w rozumieniu art.4 pkt 15 RODO w tym, informacje gromadzone w aparaturze medycznej medycznej zastosowanej w procesie leczenia pacjenta.

  1. Przetwarzający jest uprawniony do przetwarzania danych osobowych w formie papierowej i elektronicznej.

  2. Zakres czynności przetwarzania danych osobowych obejmuje: organizowanie, porządkowanie, przechowywanie, usuwanie, adaptowanie, przeglądanie.

  3. Przetwarzający będzie przetwarzał dane osobowe w siedzibie Administratora. Administrator wyraża zgodę na przetwarzanie danych osobowych przez Przetwarzającego w innym miejscu znajdującym się na terytorium Rzeczpospolitej Polskiej w przypadku uprzedniego powiadomienia Administratora o adresie miejsca przetwarzania.

  4. Strony podkreślają, iż z uwagi na wykonywanie działalności leczniczej przez Administratora powierzone Przetwarzającemu dane dotyczą zdrowia osób w rozumieniu art. 4 pkt 15 RODO i w związku z powyższym stanowią dane wrażliwe podlegające szczególnej i wzmożonej ochronie, a ich przetwarzanie wymaga zachowania najwyższych mierników staranności, do których przestrzegania niniejszym Przetwarzający się zobowiązuje.



§ 2

OKRES OBOWIĄZYWANIA UMOWY

  1. Z chwilą rozwiązania lub wygaśnięcia Umowy Odrębnej, Umowa wygasa i następuje utrata przez Przetwarzającego uprawnienia do przetwarzania danych w imieniu Administratora.

  2. Powierzający ma prawo rozwiązać Umowę bez zachowania terminu wypowiedzenia, gdy Przetwarzający rażąco naruszy postanowienia Umowy tj min.:

  1. przetwarza dane osobowe w sposób niezgodny z Umową,

  2. powierzył przetwarzanie danych osobowych innym podmiotom bez zgody Administratora,

  3. nie zawiadomił Administratora o naruszeniu, zagrożeniu naruszenia, wszczęciu kontroli itp.,

  4. jest niezdolny do dalszego wykonywania niniejszej Umowy,
    a w szczególności nie spełniania wymagań określonych w Umowie i przepisach tyczących ochrony danych osobowych.

  1. Rozwiązanie Umowy bez zachowania terminu wypowiedzenia przez Administratora, uprawnia jednocześnie do rozwiązania przez Administratora w tym trybie Umowy odrębnej.

  2. Po wygaśnięciu lub rozwiązaniu Umowy, Przetwarzający niezwłocznie przekaże Powierzającemu albo – za uprzednią pisemną zgodą Powierzającego – zniszczy wszystkie dokumenty, wyniki przetwarzania oraz wykorzystania oraz zbiory danych związane z Umową, które znalazły się w jego posiadaniu. Przez usunięcie danych rozumieć należy trwałe zniszczenie tych danych osobowych lub taką ich trwałą modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą. Przetwarzający przekazuje protokół zniszczenia lub usunięcia danych na żądanie Administratora.


§3

OBOWIĄZKI PRZETWARZAJACEGO

  1. Przetwarzający jest zobowiązany do przetwarzania danych osobowych z najwyższą starannością, zgodnie z postanowieniami Umowy oraz z zachowaniem obowiązków określonych w RODO i innych przepisach prawa w celu zabezpieczenia prawnego, organizacyjnego interesów Stron oraz praw osób, których dane dotyczą. Przetwarzający min.:

  1. podejmuje wszelkie środki o których mowa w RODO w szczególności w artykułach 28 – 32, a w szczególności oświadcza, iż wdrożył wszystkie środki techniczne i organizacyjne, które są wymagane do wykonania Umowy i Umowy Odrębnej zgodnie z przepisami prawa;

  2. przestrzega warunków korzystania z usług innego podmiotu przetwarzającego na zasadach określonych Umową oraz RODO;

  3. przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora - udokumentowanym poleceniem jest w szczególności zgłoszenie przez Administratora zapotrzebowania na wykonanie świadczenia w ramach Umowy odrębnej;

  4. udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w  przepisach powszechnie obowiązujących oraz umożliwia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji;

  5. powołał Inspektora Ochrony Danych Osobowych;

  6. nie przekazuje danych osobowych do państwa trzeciego lub organizacji międzynarodowej bez uzyskania uprzedniej pisemnej zgody Administratora;

  7. prowadzi okresowe monitorowanie procesów wewnętrznych i środków technicznych i organizacyjnych, za pomocą których dane są przetwarzane w celu zapewnienia aby przetwarzanie danych było zgodne z wymaganiami obowiązującego prawa w zakresie ochrony interesów Administratora, ochrony danych osobowych oraz ochrony praw osoby, której dotyczą dane;

  8. niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie przepisów o ochronie danych osobowych;

  9. zobowiązuje się do pomocy Administratorowi w wywiązywaniu się z obowiązków określonych w przepisach dotyczących ochrony danych osobowych

  10. przetwarza dane zgodnie z art. 24 ust 2 – 7 Ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw a Pacjenta ( tj. Dz.U. z 2017 r. poz. 1318).

  1. Mając na uwadze, iż Umowa dotyczy danych osobowych o szczególnej kategorii, Przetwarzający zapewnia i gwarantuje, iż do przetwarzania danych dopuszczone zostaną osoby znające obowiązki wynikające z niniejszej Umowy i zasady ochrony danych osobowych w tym danych osobowych dotyczących zdrowia. Osoby przetwarzające dane zostaną upoważnione imiennie oraz formie pisemnej przez Przetwarzającego, jak również zobowiążą się w formie pisemnej do zachowania tajemnicy na czas nieokreślony, w tym do zachowania tajemnicy również po śmierci pacjenta. Przetwarzający przy tym zapewnia, iż osoby te nie będą przetwarzać danych bez wyraźnego polecenia Przetwarzającego. Przetwarzający zobowiązany jest do prowadzenia ewidencji osób wykonujących czynności przy przetwarzaniu danych osobowych

  2. Przetwarzający może korzystać z usług innego podmiotu przetwarzającego dane, jedynie po uzyskaniu uprzedniej pisemnej zgody Administratora pod rygorem nieważności. Korzystanie przez Przetwarzającego z usług innego podmiotu wymaga zapoznania tego podmiotu z Umową oraz zawarcia w formie pisemnej stosownego porozumienia, zgodnego z art. 28 RODO i zachowującego co najmniej analogiczne obowiązki podmiotu przetwarzającego i uprawnienia Administratora jak w Umowie. Przetwarzający jest odpowiedzialny wobec Administratora za działania i zaniechania innego podmiotu przetwarzającego dane.


§ 4


WSPÓŁPRACA STRON I OBOWIĄZEK POWIADAMIANIA ADMINISTRATORA


  1. Przetwarzający biorąc pod uwagę charakter przetwarzania, bezwzględnie pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w przepisach powszechnie obowiązujących.

  2. Przetwarzający jest zobowiązany do udostępnienia Administratorowi, w terminie przez niego wskazanym, wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w przepisach prawa dotyczących ochrony danych osobowych i w Umowie.

  3. Przetwarzający zobowiązany jest do poinformowania Administratora o każdym przypadku żądania dotyczącego danych osobowych (niezależnie od jakiego podmiotu żądanie to pochodzi), które przetwarza na podstawie Umowy, niezwłocznie po otrzymaniu takiego żądania jednakże nie później niż w terminie 2 dni od otrzymania żądania.

  4. Przetwarzający powiadamia Administratora niezwłocznie nie później niż w terminie 2 dni o planowanym wszczęciu kontroli dotyczącej danych osobowych przetwarzanych na podstawie niniejszej Umowy, przez odpowiednie organy.

  5. Przetwarzający zobowiązany jest niezwłocznie, nie później niż w terminie 24 godzin, do zawiadomienia Administratora o każdym przypadku naruszenia lub podejrzenia naruszenia danych osobowych. Zawiadomienie zawiera co najmniej dane wskazane w art. 33 ust 3 RODO.


§ 5

UPRAWNIENIA KONTROLNE ADMINISTRATORA


  1. Administrator danych zgodnie z art. 28 ust. 3 pkt h) RODO ma prawo kontroli, czy środki zastosowane przez Przetwarzającego przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia Umowy.

  2. Administrator danych realizować będzie prawo kontroli w godzinach pracy Przetwarzającego i z minimum 3 dniowym jego uprzedzeniem.

  3. Przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora, nie dłuższym niż 7 dni .

  4. Brak skorzystania z uprawnienia do kontroli nie zwalnia ani nie umniejsza odpowiedzialności Przetwarzającego za należyte wykonanie umowy i obowiązków określonych prawem.


§6

OBOWIĄZEK ZACHOWANIA TAJEMNICY


  1. Przetwarzający zobowiązuje się do bezterminowego zachowania w tajemnicy wszelkich informacji, wynikających z Umowy tj min. danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej. Obowiązek zachowania tajemnicy obowiązuje również po śmierci pacjenta.

  2. Przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie Umowy lub Umowy Odrębnej, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.

  3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych gwarantowały zabezpieczenie danych w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.


§ 7

ODPOWIEDZIALNOŚĆ


  1. Przetwarzający jest odpowiedzialny za szkody powstałe u Administratora lub osób trzecich, w wyniku niewykonania lub nienależytego wykonania Umowy lub naruszenia przepisów prawa, w szczególności w wyniku udostępnienia lub wykorzystania danych osobowych niezgodnie z Umową lub przepisami prawa.

  2. W przypadku naruszenia przepisów prawa lub Umowy z przyczyn leżących po stronie Przetwarzającego jest on zobowiązany do zwolnienia Administratora ze wszelkich wynikłych stąd zobowiązań. Jeśli nie będzie to możliwe i w następstwie naruszeń Przetwarzającego, Administrator zostanie zobowiązany do wypłaty odszkodowania lub zostanie ukarany karą lub inną należnością publicznoprawną, Przetwarzający zwróci Administratorowi poniesione z tego tytułu koszty.

  3. Jeżeli jakakolwiek osoba, której dane osobowe zostały powierzone w wyniku Umowy, wystąpi wobec Administratora z jakimikolwiek roszczeniami z tego tytułu, Administrator zawiadomi o roszczeniach Przetwarzającego, który zobowiązuje się podjąć wszelkie działania mające na celu rozwiązanie sporu i zaspokojenie roszczenia, w tym ponieść wszelkie koszty z tym związane. W szczególności Przetwarzający wstąpi do toczącego się postępowania w charakterze strony pozwanej, a w razie braku takiej możliwości zgłosi interwencję uboczną po stronie pozwanej oraz pokryje wszelkie koszty z tego tytułu jak i odszkodowania związane z roszczeniem osoby trzeciej, w tym poniesione uprzednio przez Administratora.

  4. W przypadku gdy w wyniku niewykonania lub nienależytego wykonania Umowy lub naruszenia przepisów prawa przez Przetwarzającego, Administrator będzie zobowiązany na podstawie przepisów prawa lub decyzji organu publicznego do podjęcia określonych czynności (np. konieczność zawiadomienia osób o naruszeniu ochrony ich danych osobowych), na żądanie Administratora, Przetwarzający wykona te czynności w imieniu Administratora.


§ 8

OBOWIĄZKI ADMINISTRATORA


  1. Administrator zapewnia, iż powierzone przez niego Przetwarzającemu dane osobowe Administrator przetwarza zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osób, których dane dotyczą oraz w sposób zgodny z prawnie uzasadnionymi celami, w związku z czym powierzenie przetwarzania danych osobowych na podstawie Umowy następuje zgodnie z prawem.

  2. Administrator na wniosek Przetwarzającego przekaże wszelką dokumentację niezbędną i istotną dla procesów przetwarzania danych osobowych na podstawie Umowy.






§ 9

POSTANOWIENIA KOŃCOWE



  1. Wszelkie zmiany oraz uzupełnienia Umowy wymagają formy pisemnej pod rygorem nieważności.

  2. Z dniem 25 maja 2018 roku traci ważność Umowa Powierzenia Przetwarzania Danych załącznik nr 4 do Umowy Nr 30-1.PN-DAG.2016 z 05 sierpnia 2016 roku.

  3. Umowa podlega prawu polskiemu. Spory związane z wykonywaniem Umowy rozstrzygane będą przez Sąd powszechny według właściwości miejscowej Administratora.

  4. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla Administratora i Przetwarzającego.



………………………………….. …………………………………..

Administrator Przetwarzający

Document Metadata

Filed: May 18th, 2018