Umowa powierzenia przetwarzania danych osobowych
Umowa powierzenia przetwarzania danych osobowych
(dalej „Umowa powierzenia”)
Zważywszy, że:
1) Strony zawarły umowę o świadczenie usług medycznych na podstawie której Zleceniobiorca świadczyć będzie na rzecz Zleceniodawcy usługi medyczne w ramach
„………………………………………….” (dalej jako Program), a Zleceniodawca zbiera w imieniu Zleceniobiorcy i przekazuje Zleceniobiorcy dane osób wyrażających chęć objęcia opieką medyczną w ramach Programu (dalej jako Umowa główna);
2) w celu prawidłowego wykonania Umowy głównej niezbędne jest powierzenie przez Administratora do przetwarzania Podmiotowi przetwarzającemu określonych danych osobowych, w trybie art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej „Rozporządzenie”);
3) Umowa powierzenia ma charakter akcesoryjny wobec Umowy głównej i reguluje wzajemny stosunek Stron i obowiązki w zakresie przetwarzania danych osobowych wynikających z Umowy głównej,
Strony zawierają Umowę powierzenia przetwarzania danych osobowych o następującej treści:
§ 1
Powierzenie przetwarzania danych osobowych
1. Na podstawie Umowy głównej Podmiot przetwarzający będzie przetwarzał dane osobowe na polecenie Administratora danych na warunkach określonych w niniejszej umowie.
2. Administrator danych oświadcza, że jest administratorem danych osobowych osób uprawnionych na podstawie Umowy głównej do korzystania z usług medycznych w ramach Programu. ……….
3. Administrator danych jest zobowiązany do współdziałania z Podmiotem przetwarzającym w zakresie realizacji niniejszej umowy.
4. W celu prawidłowej realizacji przedmiotu Umowy głównej Zleceniodawca czyli Administrator powierza Zleceniobiorcy czyli Podmiotowi przetwarzającemu dane osobowe pracowników Administratora oraz innych osób uprawnionych, takie jak w szczególności: imię, nazwisko, XXXXX, data urodzenia, adres zamieszkania, adres e-mail, telefon kontaktowy dalej jako „Dane osobowe”.
5. Cel i zakres powierzenia przetwarzania Danych osobowych wynika bezpośrednio i ogranicza się do zadań lub usług wynikających z Umowy głównej. Podmiot przetwarzający uprawniony jest w szczególności do dokonywania następujących operacji przetwarzania Danych osobowych: zbieranie, modyfikowanie, przechowywanie, przeglądanie, aktualizowanie.
6. Powierzone Dane osobowe przetwarzane będą przez Podmiot przetwarzający w formie papierowej oraz w systemach informatycznych.
7. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu Dane osobowe zgodnie z Umową powierzenia, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
8. Podmiot przetwarzający oświadcza, iż stosuje odpowiednie środki techniczne i organizacyjne w rozumieniu Rozporządzenia, które zapewniają bezpieczeństwo powierzonych do przetwarzania Danych osobowych.
9. Podmiot przetwarzający oświadcza, że powierzone mu do przetwarzania Dane osobowe przetwarzane będą wyłącznie na terytorium Unii Europejskiej lub Europejskiego Obszaru Gospodarczego.
§ 2
Świadczenie usług medycznych w ramach Programu Medycyna Pracy
1. Administrator powierza Podmiotowi przetwarzającemu (drogą e-mailową) dane osobowe pracowników uprawnionych do korzystania ze świadczeń z zakresu medycyny pracy w zakresie i celu związanym z realizacją umowy o świadczenie usług medycznych w ramach Programu Medycyna Pracy.
2. Dane Osobowe będą przetwarzane przez Podmiot przetwarzający w celu i zakresie wykonania przez Podmiot przetwarzający obowiązków wynikających z umowy o świadczenie usług medycznych. Podmiot przetwarzający oświadcza, że jako podmiot wykonujący działalność leczniczą, przetwarza dane osobowe w celu udzielania świadczeń zdrowotnych, dokonywania rozliczeń z tego tytułu oraz prowadzenia, przechowywania i udostępniania dokumentacji medycznej na podstawie art. 9 ust. 2 lit. h Rozporządzenia Parlamentu Europejskiego i Rady
(UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej
„Rozporządzenie”), art. 24 ust. 1 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta oraz Rozporządzenia Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania.
3. Administrator zobowiązuje się do przekazania pracownikom lub współpracownikom uprawnionym do korzystania ze świadczeń z zakresu medycyny pracy przed przekazaniem danych Podmiotowi przetwarzającemu informacji, o których mowa w art. 14 Rozporządzenia oraz uzyskania przed przekazaniem danych Podmiotowi przetwarzającemu od osoby uprawnionej oświadczenia o zapoznaniu się z tymi informacjami, którego wzór stanowi Załącznik nr …. do Umowy powierzenia.
4. Administrator zobowiązuje się do zebrania oświadczeń, o których mowa w pkt 3 powyżej, w formie pisemnej, tj. poprzez uzyskanie podpisu pracownika w wyznaczonym na oświadczeniu miejscu oraz do powierzenia tych oświadczeń Podmiotowi przetwarzającemu na każde jego żądanie.
§ 3
Świadczenie usług medycznych w ramach Programu Świadczenia Zdrowotne
W celu realizacji umowy o świadczenie usług medycznych w ramach Programu Świadczenia Zdrowotne Administrator będzie:
1) przekazywał osobom deklarującym chęć przystąpienia do Programu Świadczenia Zdrowotne formularz stanowiący Załącznik nr …… do Umowy powierzenia (dalej jako Formularz) oraz zbierał podpisane Formularze i przekazywał je Podmiotowi przetwarzającemu na każde jego żądanie;
2) przekazywał Podmiotowi przetwarzającemu w formie elektronicznej (drogą e-mailową) dane osób, które zgłosiły się do Programu Świadczenia Zdrowotne i wypełniły Formularz w postaci: imię, nazwisko, XXXXX lub w przypadku braku numeru PESEL datę urodzenia; ewentualne dodatkowe dane w postaci: adres zamieszkania, numer telefonu, adres e-mail;
3) zbierał i przekazywał Podmiotowi przetwarzającemu w formie elektronicznej (drogą e- mailową) informacje aktualizacyjne dotyczące osób zgłoszonych do Programu Świadczenia Zdrowotne.
§ 4
Obowiązki Podmiotu przetwarzającego
1. Podmiot przetwarzający oświadcza, że wdrożył odpowiednie środki techniczne i organizacyjne zapewniające adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem powierzonych mu Danych osobowych, o których mowa w art. 32 Rozporządzenia. Podmiot przetwarzający zobowiązuje się do regularnej weryfikacji i aktualizacji stosowanych przez niego środków technicznych i organizacyjnych tak, aby zapewnić powierzonym Danym osobowym adekwatny stopień ochrony. Podmiot przetwarzający, na każde żądanie Administratora danych przekaże informacje o stosowanych przez niego środkach organizacyjnych i technicznych związanych z przetwarzaniem Danych osobowych.
2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych Danych osobowych.
3. Podmiot przetwarzający zobowiązuje się, że jego pracownicy lub współpracownicy (w szczególności pracownicy etatowi, osoby świadczące czynności na podstawie umów cywilnoprawnych, inne osoby pracujące na rzecz Podmiotu przetwarzającego), którzy będą przetwarzać Dane osobowe w związku z Umową powierzenia, będą działać na podstawie wyraźnego upoważnienia do przetwarzania danych osobowych, w granicach określonych niniejszą Umową powierzenia oraz że zostaną dopuszczeni do przetwarzania Danych osobowych jedynie po odbyciu szkoleń z zakresu ochrony danych osobowych.
4. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy (o której mowa w art.
28 ust. 3 pkt b Rozporządzenia) przetwarzanych Danych osobowych przez osoby, które upoważni do przetwarzania Danych osobowych w celu realizacji Umowy powierzenia, zarówno w trakcie ich zatrudnienia w Podmiocie przetwarzającym, jak i po jego ustaniu.
5. Podmiot przetwarzający zobowiązuje się wspierać Administratora danych, także przez stosowanie odpowiednich środków technicznych i organizacyjnych, przy spełnieniu żądań osób, których Dane osobowe – powierzone do przetwarzania Podmiotowi przetwarzającemu – dotyczą, a które związane są z realizacją praw osób fizycznych określonych w Rozporządzeniu. Podmiot przetwarzający zobowiązuje się wspierać i współdziałać z Administratorem danych w taki sposób, aby żądanie osoby fizycznej zostało spełnione w terminie określonym w Rozporządzeniu.
6. Podmiot przetwarzający zobowiązuje się współpracować i udzielać wszelkiej pomocy Administratorowi w celu wywiązywania się z obowiązków określonych w art. 32-36 Rozporządzenia. W szczególności Podmiot przetwarzający będzie udzielał Administratorowi wszelkich informacji dotyczących stosowanych środków bezpieczeństwa, certyfikacji w określonych obszarach, zidentyfikowanych po stronie Podmiotu przetwarzającego, ryzyk związanych z przetwarzaniem Danych osobowych.
7. Podmiot przetwarzający po zakończeniu świadczenia usług związanych przetwarzaniem na podstawie Umowy głównej, nie później niż w terminie 30 dni zwróci Administratorowi danych wszelkie powierzone mu Dane osobowe i usunie wszelkie ich istniejące kopie lub dokona ich zniszczenia – adekwatnie do woli Administratora, chyba że prawo Unii lub prawo Państwa Członkowskiego nakazują przechowywanie danych osobowych. Przez usunięcie Danych osobowych, rozumieć należy zniszczenie tych danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą (anonimizacja danych). Administrator danych może w każdym przypadku zweryfikować u Podmiotu przetwarzającego wypełnienie obowiązku usunięcia Danych osobowych.
§ 5
Prawo nadzoru i kontroli
1. Administrator danych lub upoważniony przez Administratora danych audytor jest uprawniony do kontrolowania Podmiotu przetwarzającego w zakresie przetwarzania Danych osobowych pod względem zgodności z postanowieniami Umowy powierzenia i przepisów Rozporządzenia.
2. Administrator danych realizować będzie prawo kontroli w godzinach pracy Podmiotu przetwarzającego i za minimum 3-dniowym uprzedzeniem.
3. Podmiot przetwarzający będzie w pełni współpracował z Administratorem danych podczas kontroli.
4. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora danych, nie dłuższym niż 7 dni po pisemnym żądaniu Administratora.
5. Administrator, w ramach czynności nadzorczych, jest uprawniony do żądania od Podmiotu przetwarzającego, udzielenia informacji związanych z przetwarzaniem Danych osobowych oraz wypełnienia przez Podmiot przetwarzający obowiązków wynikających z niniejszej Umowy powierzenia lub Rozporządzenia. Podmiot przetwarzający zobowiązany jest udostępnić Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w Umowie powierzenia lub Rozporządzeniu.
6. W ramach czynności nadzorczych i kontrolnych Administrator danych jest uprawniony do wydawania Podmiotowi przetwarzającemu pisemnych poleceń odnośnie sposobu wykonania Umowy powierzenia danych.
7. Podmiot przetwarzający zobowiązany jest do niezwłocznego informowania Administratora danych osobowych, jeżeli jego zdaniem wydane mu przez Administratora danych polecenie stanowi naruszenie Rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych osobowych.
§ 6
Dalsze powierzenie danych do przetwarzania
1. Administrator danych wyraża zgodę, aby w związku z przetwarzaniem Danych osobowych Podmiot przetwarzający korzystał z usług podmiotów trzecich, które związane są z przetwarzaniem Danych osobowych (tj. powierzył dalej do przetwarzania Dane osobowe).
2. Podmiot przetwarzający zobowiązany jest do poinformowania Administratora danych w formie mailowej o każdorazowym zamiarze powierzenia przetwarzania Danych osobowych innemu podmiotowi. Administrator danych ma możliwość złożenia w terminie 7 dni od otrzymania informacji od Podmiotu przetwarzającego sprzeciwu co do dalszego powierzenia przetwarzania Danych osobowych.
3. Podmiot przetwarzający oświadcza, że powierzenie przetwarzania Danych osobowych uregulowane zostanie w stosownych umowach powierzenia, zakres powierzonych do przetwarzania Danych osobowych i dopuszczalnych czynności przetwarzania przez ww. podmioty będzie adekwatny do określonego celu oraz nie będzie wykraczał poza Umowę powierzenia oraz Umowę główną, a podmioty którym zostaną powierzone do przetwarzania Dane osobowe będą stosowały środki techniczne i organizacyjne zapewniające wystarczający poziom ochrony powierzonych Danych osobowych. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora danych za działania lub zaniechania ww. podmiotów.
4. Przekazanie powierzonych Danych osobowych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora danych, chyba że obowiązek taki nakłada na Podmiot
przetwarzający prawo Unii lub prawo Państwa Członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający niezwłocznie poinformuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
5. Podmiot przetwarzający gwarantuje, że podwykonawca, o którym mowa w § 4 Umowy powierzenia, będzie dawał te same gwarancje i spełniał obowiązki, jakie zostały nałożone na Podmiot przetwarzający w niniejszej Umowie powierzenia, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom przepisów powszechnie obowiązującego prawa krajowego i europejskiego.
6. Podmiot przetwarzający odpowiada za działania podwykonawcy jak za własne.
§ 7
Odpowiedzialność Podmiotu przetwarzającego
1. Odpowiedzialność Podmiotu przetwarzającego wobec Administratora danych obejmuje wszelkie szkody (w tym kary) poniesione przez Administratora danych na skutek działań lub zaniechań Podmiotu przetwarzającego na zasadach ogólnych przepisów Rozporządzenia lub przepisów Kodeksu cywilnego.
2. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, czynnościach sprawdzających, zapytaniach osób których Dane osobowe dotyczą, w szczególności o postępowaniu administracyjnym lub sądowym dotyczącym przetwarzania przez Podmiot przetwarzający Danych osobowych określonych w Umowie powierzenia, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych danych osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora danych.
§ 8
Czas obowiązywania umowy powierzenia
Niniejsza Umowa powierzenia zostaje zawarta na czas realizacji Umowy głównej.
§ 9
Zasady zachowania poufności
1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i Danych osobowych otrzymanych od Administratora danych i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („Informacje poufne”).
2. Podmiot przetwarzający oświadcza, że w związku z zobowiązaniem do zachowania w tajemnicy Informacji poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie Umowy powierzenia, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy powierzenia.
3. Obowiązek zachowania poufności Informacji poufnych obowiązuje przez okres Umowy powierzenia oraz po jej rozwiązaniu lub wygaśnięciu (bez względu na podstawę prawną).
§ 10
Naruszenie ochrony Danych osobowych
W przypadku stwierdzenia jakiejkolwiek sytuacji stanowiącej naruszenie ochrony Danych osobowych Podmiot przetwarzający zobowiązany jest:
a) niezwłocznie, lecz nie później niż w ciągu 24 godzin od stwierdzenia naruszenia, poinformować o tym Administratora, podając wszelkie informacje dotyczące takiego naruszenia,
b) ustalić przyczynę naruszenia,
c) podjąć niezwłocznie wszelkie czynności mające na celu usunięcie naruszenia i zabezpieczenie Danych osobowych w sposób należyty przed dalszymi naruszeniami,
d) zebrać wszystkie możliwe dane i dokumenty, które mogą pomóc w ustaleniu okoliczności naruszenia i przeciwdziałaniu podobnym naruszeniom w przyszłości,
e) udzielać Administratorowi wszelkich wyjaśnień.
§ 11
Postanowienia końcowe
1. W sprawach nieuregulowanych będą miały zastosowanie przepisy Kodeksu cywilnego oraz Rozporządzenia.
2. Wszelkie spory pomiędzy Stronami będą rozstrzygane polubownie.
3. W przypadku braku osiągnięcia porozumienia, ostateczny spór pomiędzy Stronami zostanie rozstrzygnięty przez sąd powszechny właściwy dla siedziby Administratora (czyli Zleceniodawcy).
4. Umowa wchodzi w życie z dniem roku.
5. Załączniki do Umowy powierzenia stanowią jej integralną część.
6. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
Administrator danych Podmiot przetwarzający
Załączniki:
………………..
………………..