Umowa powierzenia przetwarzania danych osobowych

Załącznik nr 7

Umowa powierzenia przetwarzania danych osobowych

zawarta w dniu ……………………………….. w Wodzisławiu Śląskim pomiędzy:

1. Powiatowym Publicznym Zakładem Opieki Zdrowotnej w Rydułtowach i Wodzisławiu Śląskim z siedzibą w Wodzisławiu Śląskim, xx. 00 Xxxxx 00, 00-000 Xxxxxxxxx Xxxxxx reprezentowanym przez: Xxxxxxxxxx Xxxxxxxx - Dyrektora

zwanym dalej „Administratorem”, a

2. ………………………………………………………………………………………………………..
   reprezentowanym przez: …………………………………………………………………………….

zwanego w dalszej części "Podmiotem przetwarzającym"

w dalszej części Umowy zwanymi indywidualnie „Stroną” lub łącznie „Stronami”

ZWAŻYWSZY, ŻE od dnia 25 maja 2018 r. znajduje zastosowanie Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych zwane dalej „RODO”), które:

1. wprowadza nowe obowiązki w zakresie powierzenia przetwarzania danych osobowych;

2. Podmiot Przetwarzający świadczy na podstawie umowy nr ……….. z dnia ……….. („Umowy Właściwej”) usługi na rzecz Administratora, które mogą być powiązane z przetwarzaniem w imieniu Administratora danych osobowych, w tym danych szczególnej kategorii;

3. Xxxxxx postanowiły niniejszą umową określić zasady powierzenia Podmiotowi Przetwarzającemu danych osobowych do przetwarzania w związku z umową nr ………… z dnia …………., w tym wzajemne prawa i zobowiązania w trakcie współpracy w zakresie przetwarzania danych osobowych, spełniając przy tym wymogi obowiązującego prawa.

STRONY POSTANOWIŁY, CO NASTĘPUJE:

§ 1

Przedmiot Umowy

1. Umowa reguluje kwestię powierzenia i ochrony danych osobowych przetwarzanych przez Podmiot przetwarzający w związku z realizacją Umowy Właściwej zawartej pomiędzy stronami. Zakres danych określony jest zgodnie z Umową Właściwą i obejmuję wszelkie niezbędne kategorie danych do realizacji umowy.

2. Umowa reguluje również zasady zachowania w poufności przez Podmiot przetwarzający wszelkich informacji uzyskanych w toku świadczenia na podstawie Umowy Właściwej, w szczególności wszelkich informacji stanowiących tajemnicę prawnie chronioną, w tym tajemnicę ustawową lub zawodową Administratora lub osób działających w imieniu lub na rzecz Administratora.

§ 2

Powierzenie przetwarzania danych

1. Dla potrzeb realizacji usług, opisanych w Umowie Właściwej lub zleconych do realizacji w innej formie, Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w zakresie niezbędnym do realizacji ww. usług.

2. Niniejsza Umowa stanowi polecenie przetwarzania w rozumieniu art. 28 ust. 3 lit. a) RODO.

3. Administratorem danych powierzanych w związku z realizacją Umowy Właściwej jest Powiatowy Publiczny Zakład Opieki Zdrowotnej w Rydułtowach i Wodzisławiu Śląskim z siedzibą w Wodzisławiu Śląskim. Podmiot przetwarzający przetwarza powierzone dane osobowe wyłącznie na rzecz Administratora i w celu wskazanym przez Administratora.

4. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych na potrzeby wykonania usług w zakresie opisanym w Umowie Właściwej i niezbędnej do jej realizacji. W szczególności zakres powierzenia danych obejmuję :

……………………………………………………………

§ 3

Bezpieczeństwo danych osobowych

1. Podmiot przetwarzający zapewnia, że osoby upoważnione przez niego do przetwarzania powierzonych danych osobowych nie będą przetwarzały danych osobowych w jakimkolwiek innym zakresie lub celu niż wynika to z potrzeb realizacji usług, a także, że takie osoby zobowiążą się do zachowania ich w bezwzględnej tajemnicy w trakcie trwania Umowy oraz po jej zakończeniu, zgodnie z zasadami określonymi w § 7 Umowy.

2. Podmiot przetwarzający zobowiązuje się do spełnienia wszelkich wymogów w zakresie przetwarzania danych osobowych nałożonych na podmioty przetwarzające, wynikających z powszechnie obowiązujących przepisów prawa, w tym RODO, a w szczególności w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych określonych w art. 32 RODO. Podmiot przetwarzający zobowiązuje się do podjęcia środków zabezpieczenia określonych w Załączniku nr 1 do niniejszej Umowy.

§ 4

Zakaz dalszego powierzania przetwarzania danych

Podmiot przetwarzający nie będzie korzystać z usług innych podmiotów przy przetwarzaniu powierzonych danych, bez uzyskania uprzedniej pisemnej zgody Administratora. Korzystania z dalszych podwykonawców w zakresie realizacji usług, opisanych w Umowie Właściwej, nie może być powiązane z dalszym powierzeniem przetwarzania danych osobowych, bez uzyskania uprzedniej pisemnej zgody Administratora.

§ 5

Współpraca Stron

1. Podmiot przetwarzający zobowiązuje się w miarę możliwości pomagać Administratorowi, poprzez odpowiednie środki techniczne i organizacyjne, w realizacji obowiązków wskazanych w rozdziale 3 RODO. Jednocześnie Podmiot przetwarzający wspiera Administratora, uwzględniając charakter przetwarzania oraz dostępne mu informacje, w realizacji obowiązków wymienionych w art. 32- 36 RODO.

2. Na polecenie Administratora, Podmiot przetwarzający podejmuje wszelkie działania, jakie Administrator uzna za niezbędne do realizacji obowiązków, o których mowa w ustępie 1.

3. Na żądanie Administratora, w terminie wskazanym przez Administratora, Podmiot przetwarzający udostępni Administratorowi wszelkie informacje niezbędne do wykazania, że Podmiot przetwarzający spełnia obowiązki wynikające z Umowy, a także inne obowiązki podmiotu przetwarzającego wynikające z przepisów o ochronie danych osobowych, w szczególności RODO. Podmiot przetwarzający umożliwi Administratorowi lub upoważnionemu przez Administratora audytorowi przeprowadzenie audytów, w tym inspekcji w terminie uzgodnionym przez Strony w celu weryfikacji realizacji obowiązków, o których mowa powyżej i zobowiązuje się do współpracy z Administratorem w tym zakresie. Jeżeli w ocenie Podmiotu przetwarzającego polecenie trzymane od Administratora jest niezgodne z RODO lub innymi powszechnie obowiązującymi przepisami o ochronie danych osobowych niezwłocznie informuje o tym Administratora.

§ 6

Zgłaszanie naruszeń ochrony danych osobowych

1. Podmiot przetwarzający jest zobowiązany do opracowania i wdrożenia procedury stwierdzania naruszeń ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO.

2. Podmiot przetwarzający jest zobowiązany zgłosić Administratorowi każde stwierdzone naruszenie ochrony danych osobowych w ciągu 24 godzin od stwierdzenia. Zgłoszenie stwierdzonego naruszenia ochrony danych powinno zawierać: (I) opis naruszenia, w tym kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; (II) wskazywać imię i nazwisko osoby, od której Administrator może niezwłocznie uzyskać więcej informacji; (III) opisywać możliwe konsekwencje naruszenia ochrony danych dla osób, których dane dotyczą; (IV) opisywać środki zastosowane lub proponowane przez Podmiot przetwarzający w celu zaradzenia naruszeniu ochrony danych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

3. Administrator ma prawo żądać od Podmiotu przetwarzającego informacji o incydentach lub podejrzeniach naruszeń ochrony danych osobowych, innych niż określone w ustępie 2.

§ 7

Obowiązek zachowania poufności

1. W rozumieniu Umowy informacjami poufnymi Administratora (dalej: „Informacje Poufne”) są:

   1. wszelkie informacje techniczne, technologiczne, organizacyjne Administratora lub inne informacje posiadające wartość gospodarczą, które jako całość lub w szczególnym zestawieniu i zbiorze ich elementów nie są powszechnie znane osobom zwykle zajmującym się tym rodzajem informacji albo nie są łatwo dostępne dla takich osób, oraz wobec których Administrator podjął rozsądne w danych okolicznościach działania w celu utrzymania ich w poufności, chociażby poprzez umowne zastrzeżenie ich poufności;

   2. wszelkie informacje i dane osobowe lub nieosobowe, w tym dane osobowe szczególnej kategorii, których obowiązek utrzymania w tajemnicy obciąża Administratora lub osoby działające w imieniu lub z upoważnienia Administratora na podstawie bezwzględnie obowiązujących przepisów prawa, w szczególności ustawy z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty, ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej, ustawy z 19 sierpnia 1994 r. o ochronie zdrowia psychicznego, ustawy z dnia 7 stycznia 1993 r. o planowaniu rodziny, ochronie płodu ludzkiego i warunkach dopuszczalności przerywania ciąży, ustawy z dnia 1 lipca 2005 r. o pobieraniu, przechowywaniu i przeszczepianiu komórek, tkanek i narządów, a także RODO.

2. Podmiot przetwarzający zobowiązuje się do zachowania ścisłej poufności polegającej na tym, że nie ujawni jakiejkolwiek nieuprawnionej osobie trzeciej jakichkolwiek Informacji Poufnych Administratora oraz będzie wykorzystywać Informacji Poufnych wyłącznie do celów świadczenia usług na podstawie Umowy Właściwej. Obowiązek zachowania ścisłej poufności ma zastosowanie niezależnie od formy udostępnienia lub przetwarzania Informacji Poufnych (w tym w formie przekazu ustnego, dokumentu, zapisu na komputerowym nośniku informacji).

3. Podmiot przetwarzający gwarantuje i zapewnia, że stosowane przez niego środki ostrożności i zabezpieczenia zapewniają odpowiednią ochroną Informacji Poufnych przed nieupoważnionym ujawnieniem, pozyskaniem, skopiowaniem, zniszczeniem, przekazaniem, zabraniem lub wykorzystaniem.

4. Obowiązek zachowania poufności, o którym mowa w niniejszym § 7 Umowy, nie dotyczy informacji:

   1. które są powszechnie dostępne lub znane lub też zostały podane do publicznej wiadomości przez Administratora lub za jego zezwoleniem;

   2. których ujawnienie jest wymagane przez bezwzględnie obowiązujący przepis prawa;

   3. których ujawnienie lub przekazanie następuje za pisemną zgodą Administratora;

   4. których przekazanie następuje w niezbędnym i uzasadnionym okolicznościami zakresie na żądanie podmiotu prowadzącego audyt, pod warunkiem, że podmiot ten zobowiązany jest do zachowania poufności i został uprzednio poinformowany przez Podmiot przetwarzający o poufnym charakterze informacji;

   5. przekazanych profesjonalnym doradcom (takim jak adwokaci, radcowie prawni, doradcy podatkowi, notariusze), w zakresie niezbędnym do skorzystania przez Podmiot przetwarzający z ich pomocy, pod warunkiem, że są oni z mocy ustawy zobowiązani do zachowania poufności i zostali uprzednio poinformowani przez Podmiot przetwarzający o poufnym charakterze informacji.

5. W każdym przypadku, gdy Podmiot przetwarzający zamierza ujawnić lub udostępnić dane osobowe na podstawie ust. 4 powyżej, w szczególności w wypadku, gdy zostanie zobowiązany nakazem sądu bądź innego organu władzy publicznej do ujawnienia lub udostępnienia Informacji Poufnych, a konieczność ich ujawnienia lub udostępnienia będzie wynikała z bezwzględnie obowiązującego prawa, powinien poinformować o tym Administratora.

§ 8

Obowiązki po zakończeniu Umowy

Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych wyłącznie na czas niezbędny do realizacji Umowy Właściwej. Po zakończeniu Umowy Podmiot przetwarzający jest jednocześnie zobowiązany do zakończenia czynności przetwarzania danych na zlecenie Administratora i w zależności od decyzji Administratora usuwa lub zwraca Administratorowi powierzone dane osobowe, a także usuwa wszelkie ich istniejące kopie, chyba że przepisy powszechnie obowiązującego prawa nakazują przechowywanie całości lub części tych danych.

§ 9

Odpowiedzialność Stron

1. Podmiot Przetwarzający ponosi pełną odpowiedzialność odszkodowawczą wobec Administratora w odniesieniu do naruszeń postanowień Umowy lub przepisów obowiązującego prawa, w tym RODO, oraz do naruszeń tajemnicy prawnie chronionej, w tym także zobowiązuje się zwrócić Administratorowi kwoty będące karami nakładanymi przez właściwe organy władzy publicznej lub roszczeniami odszkodowawczymi osób trzecich (w tym wniesionymi przez osoby, których dane dotyczą), które mogą zostać nałożone na albo wniesione przeciwko Administratorowi w wyniku niewykonania lub nienależytego wykonania przez Podmiot Przetwarzający lub inne osoby działające w imieniu, na rzecz lub z upoważnienia Podmiotu przetwarzającego niniejszej Umowy w całości lub w części.

2. W przypadku naruszenia Umowy przez Podmiot przetwarzający lub inne osoby działające w imieniu, na rzecz lub z upoważnienia Podmiotu przetwarzającego, domniemywa się działanie zawinione w przypadku każdego z tych podmiotów. W odniesieniu do niniejszej Umowy nie stosuje się ograniczeń odpowiedzialności uzgodnionych przez Xxxxxx w innych umowach lub dokumentach.

§ 10

Rozwiązanie umowy

1. Każda ze stron może wypowiedzieć umowę z zachowaniem 3-miesięcznego okresu wypowiedzenia.

2. Administrator danych może rozwiązać niniejszą umowę ze skutkiem natychmiastowym, jeżeli podczas audytu na podmiocie przetwarzającym zostaną stwierdzone rażące uchybienia w procesie przetwarzania danych osobowych, lub będą one przetwarzane w sposób niezgodny z umową.

§ 11

Postanowienia końcowe

1. Niniejsza Umowa obowiązuje Strony przez okres trwania Umowy Właściwej, a w zakresie obowiązku zachowania poufności – przez okres trwania Umowy Właściwej, a także przez okres 2 (dwóch) lat liczonych do daty rozwiązania Umowy Właściwej.

2. Do wszelkich praw i obowiązków wynikających z niniejszej Umowy stosuje się prawo właściwe dla Umowy Właściwej. W przypadku, gdy prawem właściwym dla Umowy Właściwej jest prawo państwa nienależącego do Europejskiego Obszaru Gospodarczego, do postanowień Umowy dotyczących powierzenia przetwarzania danych osobowych stosuje się w danym wypadku prawo polskie.

3. Dotychczasowe postanowienia odrębnych umów odnoszące się do powierzenia i ochrony danych osobowych przetwarzanych w związku z wykonywaniem Umowy oraz dotychczasowe postanowienia odnośnie zachowania w poufności informacji uzyskanych na podstawie Umowy lub Umowy pozostają w mocy, o ile nie są sprzeczne z postanowieniami niniejszej Umowy. W przypadku, gdy którekolwiek z postanowień niniejszej Umowy zostanie uznane za nieważne, nieskuteczne lub z innych względów niewykonalne, zostanie ono uzgodnione przez Strony i zastąpione w ciągu 30 dni od daty stwierdzenia takiej nieważności, nieskuteczności lub niewykonalności postanowieniem najbliżej odpowiadającym pierwotnemu postanowieniu, które jest zastępowane.

4. Wszystkie zmiany Umowy wymagają zachowania formy pisemnej pod rygorem nieważności.

5. Umowę sporządzono w 2 egzemplarzach, po jednym dla każdej ze Stron.

6. Umowa powierzenia przetwarzania danych osobowych wchodzi w życie z dniem podpisania.

………………………………………………………	………………………………………………………
Administrator	Podmiot przetwarzający

Załączniki:

1. Wymogi w zakresie bezpieczeństwa danych osobowych

Załącznik nr 1 - Wymogi w zakresie bezpieczeństwa danych osobowych

Podmiot przetwarzający zobowiązany jest zapewnić odpowiedni poziom poufności, dostępności i integralności. Powierzone mu dane osobowe powinny być:

1. zabezpieczone na komputerze oraz innych urządzeniach przetwarzających dane osobowe w sposób zapewniający ochronę przed osobami niepowołanymi - zalecane jest wykorzystanie automatycznego blokowania ekranu po okresie bezczynności użytkownika;

2. zabezpieczone poprzez stosowanie oprogramowania antywirusowego;

3. niezwłocznie usunięte, jeżeli przetwarzanie nie jest już niezbędne do realizacji celów w ramach zawartej umowy;

4. ograniczone w procesie do liczby komputerów oraz innych urządzeń przetwarzających dane osobowe do niezbędnego minimum;

5. zaszyfrowane i zabezpieczone hasłem, jeśli są przesyłane drogą mailową.

7