UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Załącznik nr ….... do Umowy nr ………
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w dniu …… - …..…-2023 roku w Warszawie pomiędzy:
Narodowym Instytutem Onkologii im. Xxxxx Xxxxxxxxxxxx – Curie - Państwowym Instytutem Badawczym z siedzibą w Warszawie, adres: 00-000 Xxxxxxxx, xx. W. K. Xxxxxxxxx 0, wpisanym do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla x.xx. Warszawy, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS 0000144803, NIP 5220003782, Regon 010334578, zwanym dalej „Administratorem” lub „Powierzającym”, w imieniu którego działa, należycie umocowany:
.........................................................................................................................................
a
(w przypadku przedsiębiorcy wpisanego do KRS)*
Spółką ....................., z siedzibą w .................. przy ulicy ....................., wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy...........................
w ................., ............ Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS:
................, NIP ............, Regon ..............., kapitał zakładowy ,
(w przypadku przedsiębiorcy wpisanego do Centralnej Ewidencji i Informacji o Działalności Gospodarczej)*
Panią/Panem ................ zam. ................, ul. ............... prowadzącą/prowadzącym działalność gospodarczą na podstawie wpisu do Centralnej Ewidencji i Informacji o Działalności Gospodarczej pod firmą .................., adres prowadzenia działalności....................., ul. ........., NIP:................, Regon
............, reprezentowaną/reprezentowanym przez: ....................(na mocy )
(w przypadku spółki cywilnej)*
Panią/Panem ............... zam. ...................., ul. ..............., prowadzącą/prowadzącym działalność gospodarczą na podstawie wpisu do Centralnej Ewidencji i Informacji o Działalności Gospodarczej pod firmą ...............,adres prowadzenia działalności....................., ul. ........., NIP: ..............., Regon
..............., reprezentowaną/reprezentowanym przez: ........................... (na mocy )
Panią/Panem .................. zam. ...................., ul. ............, prowadzącą/prowadzącym działalność gospodarczą na podstawie wpisu do Centralnej Ewidencji i Informacji o Działalności Gospodarczej pod firmą ...............,adres prowadzenia działalności....................., ul. ........., NIP .................., Regon
............., reprezentowaną/reprezentowanym przez: ............................ (na mocy ),
wspólnikami spółki cywilnej ............, adres: ............, NIP: ..........., Regon:...........................
zwaną/zwanym dalej „ Przetwarzającym”, w imieniu którego działa należycie umocowany:
...................................................................................................................................................................
Mając na uwadze, że:
• Strony zawarły umowę nr („Umowa Podstawowa”)j;
• Celem niniejszej umowy (dalej „Umowa”) jest ustalenie warunków, na jakich Przetwarzający wykonuje operacje przetwarzania Danych Osobowych w imieniu i na zlecenie Administratora;
• Strony zawierając Umowę dążą do takiego uregulowania zasad przetwarzania Danych Osobowych, aby odpowiadały one w pełni postanowieniom rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1).
W niniejszej Umowie poniższe wyrażenia otrzymują następujące znaczenia:
Przetwarzający – podmiot, któremu Administrator powierza przetwarzanie danych osobowych na mocy niniejszej umowy.
Podprzetwarzajacy – podmiot któremu Przetwarzający powierza dalsze przetwarzanie danych osobowych powierzonych do przetwarzania przez Administratora.
Xxxx Xxxxxxx – dane osobowe w rozumieniu Rozporządzenia dotyczące pacjentów i pracowników, przekazywane przez Zamawiającego Wykonawcy do przetwarzania.
Przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, przechowywanie, porządkowanie, adoptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, ograniczanie, usuwanie lub niszczenie.
Rozporządzenie (RODO) - rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r.
Ustawa - ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych ( Dz. U. z 2018 r. poz. 1000).
Xxxxxx postanowiły zawrzeć niniejszą umowę, o następującej treści:
1. Przedmiot Umowy
1.1 Na podstawie Umowy, Powierzający powierza Przetwarzającemu przetwarzanie dalej opisanych Danych Osobowych na warunkach określonych Umową i Umową Podstawową. Umowa stanowi umowę powierzenia przetwarzania danych osobowych, o której mowa w art. 28 ust. 3 RODO.
1.2 Celem powierzenia jest:
(1) Wykonanie usług z zakresu obsługi zarządzania funkcjonalnościami systemu e-KRN+ (Część nr 1)/ administracji środowiskiem aplikacyjnym systemu e-KRN+ (Część nr 2), w zakresie niezbędnym do właściwej realizacji Umowy Podstawowej;
(2) kontakt z wyznaczonymi pracownikami Zamawiającego w zakresie niezbędnym do realizacji Umowy Podstawowej.
1.3 Przetwarzanie danych osobowych będzie dotyczyć następujących kategorii osób:
(1) Osób zgłoszonych do Krajowego rejestru Nowotworów na podstawie Karty Zgłoszenia Nowotworu Złośliwego (MZ/N-1a),
(2) Zarejestrowanych użytkowników Systemu w tym pracowników Krajowego Rejestru Nowotworów i biur regionalnych.
1.4 W ramach Umowy przetwarzane będą dane osobowe, co obejmuje w szczególności następujące rodzaje danych:
(1) dane osobowe Osób zgłoszonych do Krajowego rejestru Nowotworów na podstawie rozporządzenia MZ Dz.U. 2023 poz. 661:
− nazwisko i imię (xxxxxx),
− datę urodzenia,
− oznaczenie płci,
− adres miejsca zamieszkania osoby zgłoszonej w momencie udzielania świadczenia przez placówkę medyczną,
− numer PESEL,
− inne dane wrażliwe, w tym dane dotyczące zdrowia w rozumieniu art. 4. Pkt 15 RODO w tym informacje o stanie zdrowia, diagnozy, przeprowadzona diagnostyka, stosowane leczenie,
(2) Zarejestrowanych użytkowników Systemu w tym pracowników Krajowego Rejestru Nowotworów i biur regionalnych::
− Imię i nazwisko
− Login
− Pesel
− Adres email
− Telefon
− Adres do korespondencji
− Numer Prawa wykonywania zawodu
− Miejsce zatrudnienia.
Zakres danych osobowych wymienionych powyżej jest maksymalnym katalogiem danych, które mogą być przetwarzane w związku z realizacją Umowy. W rzeczywistości dane mogą być przekazywane przez Administratora w mniejszym zakresie bez uszczerbku dla postanowień niniejszej umowy. Zakres danych może ulec zmianie w przypadku zmiany aktualnie obowiązujących przepisów prawa.
2. Okres obowiązywania Umowy
2.1 Z zastrzeżeniem pkt 10.3, Xxxxx zostaje zawarta na czas określony tj. od dnia zawarcia Umowy do:
a) dnia zawarcia przez Powierzającego kolejnej umowy dotyczącej wsparcia serwisowego Systemów, następującej po Umowie Podstawowej albo
b) do upływu trzech miesięcy po ustaniu Umowy Podstawowej
w zależności od tego, które ze zdarzeń wymienionych w pkt a)-b) powyżej nastąpi najpierw.
2.2 Administrator może wypowiedzieć niniejszą Umowę ze skutkiem natychmiastowym w przypadku naruszenia przez Przetwarzającego postanowień Umowy, przepisów Ustawy lub Rozporządzenia,
w szczególności w przypadku udostępniania Danych Osobowych osobom nieuprawnionym, a także w przypadku, gdy:
a) organy administracji państwowej odpowiedzialne za nadzór nad przestrzeganiem zasad przetwarzania danych osobowych stwierdzą, że Przetwarzający nie przestrzega tych zasad;
b) Administrator, w wyniku przeprowadzenia kontroli stwierdzi, że Przetwarzający nie przestrzega zasad przetwarzania Danych Osobowych lub przepisów Rozporządzenia;
c) Przetwarzający utrudnia lub uniemożliwia przeprowadzenie kontroli o której mowa w niniejszej umowie.
3. Obowiązki Przetwarzającego
3.1 Oprócz zgodności z regułami podanymi w Umowie, Przetwarzający zapewni zgodność z wymaganiami, o których jest mowa w Artykułach od 28 do 33 RODO. Przetwarzający w szczególności oświadcza, że wdrożył środki techniczne oraz organizacyjne, które są niezbędne do wykonania Umowy zgodnie z art. 32 RODO. Środki techniczne i organizacyjne, o których mowa w zdaniu poprzedzającym będą w szczególności zgodne z Artykułem 28 ust. 3 lit. c) oraz z art. 32 RODO w związku z Artykułem 5 ust. 1-2 RODO. Środki te związane są z bezpieczeństwem danych oraz i gwarantują poziom ochrony odpowiedni do ryzyka w zakresie poufności, integralności, dostępności oraz odporności Systemów, z uwzględnieniem poziomu techniki, kosztów wdrażania, charakteru, zakresu oraz celów przetwarzania a także prawdopodobieństwa wystąpienia oraz skali ryzyka dla praw oraz swobód osób fizycznych w rozumieniu Artykułu 32 Paragraf 1 RODO (co opisano w Załączniku nr 1 do Umowy). Środki techniczne oraz organizacyjne są przedmiotem postępu technicznego oraz dalszego rozwoju, wobec czego Przetwarzający może wdrażać adekwatne środki alternatywne. Jednakże w takim wypadku nie może mieć miejsca obniżenie poziomu bezpieczeństwa określonych środków.
3.2 Przetwarzający informuje, iż powołał Inspektora Ochrony Danych Osobowych, z którym można skontaktować się : tel. ..............................., e-mail:……………………………………….
Aktualne dane Inspektora Ochrony Danych Osobowych są dostępne na stronie internetowej Przetwarzającego.
3.3 Przetwarzający będzie prowadzić okresowe monitorowanie procesów wewnętrznych i środków technicznych oraz organizacyjnych w celu zapewnienia, aby przetwarzanie danych w jego obszarze odpowiedzialności było zgodne z wymagania obowiązującego prawa w zakresie ochrony danych oraz ochrony praw Podmiotu Danych (osoby, której dotyczą dane).
3.4 Przetwarzający w ramach Umowy przetwarza Dane Osobowe wyłącznie na podstawie udokumentowanych poleceń lub instrukcji Powierzającego. Udokumentowanym poleceniem jest w szczególności zapotrzebowanie na wykonanie usług zgłaszane w ramach Umowy Podstawowej, co dotyczy w szczególności zgłoszeń w udostępnianych przez Przetwarzającego systemach obsługi zgłoszeń oraz zgłoszeń dokonywanych telefonicznie, a także zgłoszeń przesyłanych przez automatyczne systemy monitorujące.
3.5 Przetwarzanie Danych Osobowych w ramach Umowy zostanie powierzone przez Przetwarzającego tylko takim jego pracownikom, którzy zostaną zobowiązani do zachowania poufności oraz którzy uprzednio zostali zapoznani z postanowieniami w zakresie ochrony danych związanych z ich pracą. Przetwarzający oraz każda osoba działająca z upoważnienia Przetwarzającego, która będzie posiadać dostęp do Danych Osobowych nie będzie przetwarzać
tych Danych bez polecenia Powierzającego, chyba że wymagają tego obowiązujące przepisy prawa.
3.6 Przetwarzanie Danych Osobowych nie będzie realizowane poza terenem Unii Europejskiej (UE) lub Kraju Członkowskiego Europejskiej Wspólnoty Gospodarczej.
3.7 W ramach realizacji Umowy, w przypadku konieczności, Przetwarzający jest uprawniony do zdalnego dostępu do systemów Administratora wyłącznie z zastosowaniem bezpiecznego, wydzielonego łącza VPN.
3.8 Przetwarzający oświadcza, że realizacja zdalnego dostępu do systemów Administratora odbywać się będzie wyłącznie z lokalizacji stanowiącej obszar przetwarzania danych Przetwarzającego, stanowiących pomieszczenia będące w posiadaniu Przetwarzającego. Zabroniona jest realizacja zdalnego dostępu z miejsc nie pozostających pod nadzorem fizycznym Przetwarzającego w szczególności z miejsc publicznie dostępnych.
3.9 W trakcie wykonywania Umowy Przetwarzający będzie współpracować z organem nadzoru na wniosek tego organu. Przetwarzający będzie informował Powierzającego o wszelkich kontrolach oraz środkach podejmowanych przez organ nadzoru jeżeli mają one związek z Umową.
3.10 Jeżeli Powierzający jest przedmiotem kontroli prowadzonej przez organ nadzoru, postępowania administracyjnego lub karnego z powodu przestępstwa lub wykroczenia, roszczenia wniesionego przez osobę, której dotyczą Dane Osobowe lub przez stronę trzecią w związku z przetwarzaniem Danych Osobowych przez Powierzającego, Przetwarzający dołoży wszelkich starań w celu wsparcia Powierzającego.
4. Poufność
4.1. Przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
4.2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
5. Korekta, ograniczanie oraz usuwanie danych
5.1 Przetwarzający może usuwać lub ograniczać przetwarzanie Danych Osobowych jedynie na podstawie udokumentowanych poleceń od Powierzającego.
5.2 Jeżeli Podmiot Danych (osoba, której dotyczą dane) skontaktuje się bezpośrednio z Przetwarzającym w związku z korektą, usunięciem lub ograniczeniem przetwarzania, Przetwarzający natychmiast przekaże Powierzającemu wniosek tego Podmiotu Danych.
6. Dalsze powierzenie przetwarzania Danych Osobowych
6.1 Przetwarzający może powierzyć przetwarzanie Danych Osobowych innym podmiotom przetwarzającym, co w szczególności dotyczy podwykonawców Przetwarzającego, angażowanych przez niego przy realizacji Umowy Podstawowej.
6.2 Przetwarzający może powierzyć przetwarzanie Danych Osobowych innym podmiotom pod warunkiem uzyskania zgody Powierzającego.
6.3 Przystąpienie do przetwarzania danych przez podmioty, o których mowa w ust. 6.1-6.3 może nastąpić po zapewnieniu przez te podmioty zgodności z wszystkimi wymaganiami Umowy, odnoszącymi się do Przetwarzającego.
6.4 Powierzenie przetwarzania Danych Osobowych innym podmiotom nie zmniejsza zakresu odpowiedzialności Przetwarzającego wynikającego w Umowy.
6.5 Przetwarzający zobowiązuje się do natychmiastowego rozwiązania umowy z podmiotem Podprzetwarzajacym w przypadku, gdy zażąda tego Administrator, a w szczególności w sytuacji, gdy Podprzetwarzający nie przestrzega zasad przetwarzania danych osobowych wynikających z obowiązujących przepisów prawa.
7. Uprawnienia Powierzającego w zakresie nadzoru
7.1 Przetwarzający zapewni Powierzającemu możliwość weryfikacji zgodności ze zobowiązaniami Przetwarzającego wynikających z art. 28 RODO.
7.2 Powierzający ma prawo do przeprowadzania kontroli albo do powierzania ich wykonywania przez audytora, który zostanie wyznaczony indywidualnie w każdym wypadku. Przetwarzający zobowiązuje się, że dostarczy Powierzającemu, na jego żądanie niezbędnych informacji, a w szczególności dotyczących środków technicznych i organizacyjnych stosowanych przy przetwarzaniu Danych Osobowych.
7.3 Powierzający będzie realizował prawo kontroli w dni robocze, w godzinach pracy Przetwarzającego z co najmniej 14-dniowym wyprzedzeniem. Za dni robocze Xxxxxx uważać będą dni od poniedziałku do piątku, z wyjątkiem dni ustawowo wolnych od pracy na terytorium Rzeczypospolitej Polskiej.
7.4 Przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli, w terminie wskazanym przez Powierzającego, który nie może jednak być krótszy niż 5 dni.
8. Komunikacja w przypadku naruszeń zasad przetwarzania Danych Osobowych
8.1 Przetwarzający powinien wspierać Powierzającego w zachowaniu zgodności ze zobowiązaniami w zakresie bezpieczeństwa danych osobowych, wymaganiami odnośnie zgłaszania naruszeń danych, oceny skutków dla ochrony danych poprzez podjęcie określonych działań:
a) zapewnienie odpowiedniego poziomu ochrony przez zastosowanie środków technicznych oraz organizacyjnych z uwzględnieniem okoliczności oraz celów przetwarzania, a także projektowanego prawdopodobieństwa oraz skali ewentualnego naruszenia;
b) powiadomienie Administratora o każdym podejrzeniu naruszenia ochrony Danych osobowych nie później niż w 24 godziny od pierwszego zgłoszenia, umożliwienie Administratorowi uczestnictwa w czynnościach wyjaśniających i poinformowanie go o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia;
c) przesłanie powiadomienia o stwierdzeniu naruszenia wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, umożliwiając tym samym Administratorowi spełnienie obowiązku powiadomienia organu nadzoru.
d) wsparcie Powierzającego w odniesieniu do obowiązków związanych z informowaniem zainteresowanego Podmiotu Danych (osoby, której dotyczą dane) oraz dostarczanie Powierzającemu wszystkich posiadanych informacji na ten temat;
e) wspieranie Powierzającego w zakresie oceny skutków dla ochrony jego danych.
8.2 Powiadomienie o naruszeniu zasad przetwarzania danych może nastąpić drogą elektroniczną lub za pomocą środków porozumiewania się na odległość.
9. Prawo Powierzającego do wydawania poleceń
9.1 Polecenia wydane ustnie zostaną natychmiast potwierdzone przez Powierzającego minimum w formie wiadomości przesłanej pocztą elektroniczną.
9.2 Przetwarzający niezwłocznie będzie informował Powierzającego w przypadku stwierdzenia, że dane polecenie narusza przepisy prawa w zakresie ochrony danych. W takim wypadku Przetwarzający ma prawo zawiesić wykonanie odnośnych poleceń do czasu ich potwierdzenia albo zmiany przez Powierzającego.
10. Kasowanie oraz zwrot danych osobowych
10.1 Przetwarzający nie będzie tworzył kopii Danych Osobowych bez wiedzy Powierzającego za wyjątkiem kopii zapasowych w zakresie koniecznym do zapewnienia właściwego przetwarzania danych.
10.2 Po wygaśnięciu Umowy Przetwarzający przekaże Powierzającemu albo – za uprzednią zgodą Powierzającego – zniszczy wszystkie dokumenty, wyniki przetwarzania oraz wykorzystania oraz zbiory danych związane z Umową, które znalazły się w jego posiadaniu, w sposób zgodny z ochroną danych. Protokół zniszczenia lub usunięcia należy dostarczyć na żądanie Powierzającego.
10.3 Przetwarzający po wygaśnięciu Umowy może zachować kopię Danych Osobowych przetwarzanych w systemach Przetwarzającego (w szczególności w systemie obsługi zgłoszeń serwisowych) i dotyczących realizacji Umowy Podstawowej w celu wypełnienia obowiązków ustawowych związanych z archiwizacją i przechowywaniem dokumentów. Kopia Danych, o których mowa w zdaniu poprzedzającym może być przechowywana do upływu okresu przedawnienia roszczeń i zobowiązań wynikających z Umowy Podstawowej, co dotyczy także zobowiązań podatkowych.
10.4 Uprawnienie, o którym mowa w ust. 10.3 nie obejmuje prawa do tworzenia kopii baz danych Powierzającego.
11. Odpowiedzialność
11.1 Przetwarzający odpowiada za szkody spowodowane swoim działaniem w związku z niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na Przetwarzającego lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom. Przetwarzający odpowiada za szkody spowodowane zastosowaniem lub niezastosowaniem właściwych środków bezpieczeństwa.
11.2 Jeżeli Podprzetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora i osób trzecich za wypełnienie obowiązków przez Podprzetwarzającego spoczywa na Przetwarzającym.
12. Postanowienia końcowe
12.1 Zmiany Umowy muszą być dokonywane piśmie pod rygorem nieważności.
12.2 Jeżeli poszczególne postanowienia Umowy staną się nieskuteczne albo niewykonalne po jej podpisaniu, nie będzie to miało wpływu na ważność pozostałych postanowień Umowy.
12.3 Postanowienie nieskuteczne albo niewykonalne należy zastąpić postanowieniem skutecznym oraz wykonalnym, najbardziej zbliżonym do celu ekonomicznego, do którego dążyły strony Umowy w ramach postanowienia nieważnego lub niewykonalnego.
12.4 Umowa wchodzi w życie z dniem zawarcia i zastępuje wszystkie istniejące porozumienia Stron w zakresie powierzenia i zasad przetwarzania Danych Osobowych.
12.5 Niniejsza umowa podlega prawu polskiemu.
12.6 Sądem właściwym dla rozpatrzenia sporów wynikających z Umowy będzie sąd właściwy Powierzającego.
12.7 Wynagrodzenie określone w Umowie podstawowej obejmuje także wynagrodzenie za wykonywanie niniejszej Umowy. Przetwarzający oświadcza, że wynagrodzenie wskazane w zdaniu poprzednim wyczerpuje jego roszczenia wobec Administratora wynikające z niniejszej Umowy.
12.8 Umowa została sporządzona w trzech jednobrzmiących egzemplarzach: dwa egzemplarze dla Powierzającego, jeden egzemplarz dla Przetwarzającego.