Załącznik nr 3 do Umowy ……./2020

Załącznik nr 3 do Umowy ……./2020

Umowa powierzenia przetwarzania danych osobowych


W dniu …………….pomiędzy:


SP ZOZ Zespół Szpitali Miejskich ul. Strzelców Bytomskich 11, 41-500 Xxxxxxx XXX 0000000000

wpisany do rejestru stowarzyszeń, i innych organizacji społecznych i zawodowych, fundacji oraz publicznych zakładów opieki zdrowotnej pod numerem KRS 0000011939, REGON 271503410, reprezentowany przez:


……………………………………………………………………….


zwany dalej Zamawiającym oraz


………………………………….. wpisany do rejestru przedsiębiorców pod numerem KRS ………………………reprezentowany przez:


…………………………………………………………………………



zwana dalej Wykonawcą, zostaje zawarta umowa następującej treści:


§ 1

Powierzenie przetwarzania danych osobowych

  1. W związku z zawarciem i realizacją umowy dotyczącej prowadzenia prac serwisowych oprogramowania aplikacyjnego (dalej: Umowa), Zamawiający powierza Wykonawcy:


    1. dane osobowe pacjentów w celu wykonania Umowy, w zakresie takich danych, jak:

  • Nazwisko i imię (imiona),

  • Adres zamieszkania,

  • PESEL,

  • Numer dowodu osobistego,

  • Dane dot. zdrowia,

  • Numer telefonu,

  • Email

  • Dane osób upoważnionych do dostępu do dokumentacji medycznej,

  • Dane osobowe opiekunów prawnych

    1. Dane osobowe pracowników Zamawiającego, w zakresie takich danych jak:

  • Imię (imiona) i nazwisko

  • Imiona rodziców oraz data i miejsce urodzenia

  • Adres zamieszkania

  • Numer telefonu

  • Adres poczty elektronicznej

  • Dane przetwarzane w związku z zatrudnieniem

  • Dane członków rodzin

  • Numery kont bankowych

  • Zajęcia komornicze

  • Dane związane urzędem skarbowym oraz prowadzoną działalnością

  • PESEL, NIP, wykształcenie, doświadczenie zawodowe, kursy, specjalizacje

  • Nieobecności (głównie chodzi o chorobowe)

    1. Dane kontrahentów będącymi osobami fizycznymi, w zakresie takich danych jak:

  • Imię (imiona) i nazwisko

  • Adres zamieszkania i adres siedziby

  • Numer NIP

  • Numer telefonu

  • Adres poczty elektronicznej

  • Numery kont bankowych


  1. Zakres danych osobowych wymienionych w ust. 1 jest maksymalnym katalogiem danych, które mogą być przetwarzane w związku z realizacją Umowy. W rzeczywistości dane mogą być przekazywane przez Zamawiającego w mniejszym zakresie bez uszczerbku dla postanowień Umowy powierzenia. Zakres danych może ulec zmianie w przypadku zmiany aktualnie obowiązujących przepisów prawa.

  2. Wykonawca zobowiązuje się przetwarzać Dane Osobowe pacjentów wskazane w par.1 ust.1 pkt.1.1 zgodnie z poleceniem Zamawiającego, przestrzegając:

    1. postanowień Umowy powierzenia,

    2. obowiązujących przepisów regulujących kwestię ochrony danych osobowych; w szczególności ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, a od dnia 25 maja 2018 r. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: Rozporządzenie).


§ 2

Zakres i cel przetwarzania danych

Zamawiający upoważnia Wykonawcę do przetwarzania w jego imieniu Danych Osobowych pacjentów, pracowników i kontrahentów wskazanych w par. 1 ust. 1 pkt. 1.1, 1.2 i 1.3 w celu i zakresie niezbędnym do realizacji postanowień Umowy, w szczególności w zakresie dostępu, przechowywania i opracowywania danych dla celów związanych z wykonywaniem serwisu oprogramowania.


§ 3

Obowiązki Podmiotu Przetwarzającego

  1. Wykonawca zobowiązuje się:


    1. stosować środki techniczne í organizacyjne zapewniające ochronę powierzonych danych, a w szczególności zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, utratą, uszkodzeniem lub zniszczeniem. W celu wykonania obowiązku, o którym mowa w zdaniu poprzedzającym, Wykonawca posiada wdrożony, certyfikowany System Zarządzania Bezpieczeństwem Informacji zgodnie z normą PN-ISO/IEC 27001,

    2. przy przetwarzaniu powierzonych danych osobowych na podstawie Umowy powierzenia, zabezpieczy je poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia (RODO) i ochronę prawa osób, których dane dotyczą,

    3. upoważnić do przetwarzania danych osobowych wskazanych w § 1 ust. 1 Porozumienia wszystkie osoby, które będą przetwarzały powierzone dane w celu realizacji Umowy i Umowy powierzenia,

    4. prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych,

    5. zapewnić zachowanie w tajemnicy przetwarzanych danych oraz sposobów ich zabezpieczenia przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji Umowy lub Umowy powierzenia, zarówno w trakcie zatrudnienia lub współpracy z Wykonawcą, jak i po ustaniu zatrudnienia lub współpracy.

  1. Wykonawca pomaga Zamawiającemu:

    1. w miarę swoich możliwości, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia (Prawa osoby, której dane dotyczą).

    2. w wywiązywaniu się z obowiązków określonych w art. 32-36 Rozporządzenia, w szczególności w przypadku stwierdzenia naruszenia zasad ochrony i przetwarzania powierzonych danych osobowych na podstawie Umowy powierzenia, zgłasza je Zleceniodawcy za pośrednictwem osób wskazanych w §9 ust. 2 Umowy powierzenia bez zbędnej zwłoki, jednak nie później niż w terminie 48 godzin od chwili stwierdzenia naruszenia.

    3. Wykonawca po zakończeniu trwania umowy jest zobowiązany do usunięcia powierzonych danych osobowych oraz usunięcia wszelkich ich istniejących kopii, o ile przepis prawa powszechnie obowiązującego nie nakazuje przechowywania danych osobowych.




§ 4

Prawo do kontroli

  1. Zmawiający ma prawo kontroli, czy środki zastosowane przez Wykonawca przy przetwarzaniu danych spełniają postanowienia Umowy powierzenia i Rozporządzenia (po jego wejściu w życie).

  2. Wykonawca na każdy pisemny wniosek Zamawiającego zobowiązany jest do udzielenia pisemnej informacji dotyczących przetwarzania powierzonych mu danych osobowych w terminie 14 dni od dnia otrzymania takiego wniosku.

  3. Zamawiający ma prawo do faktycznej weryfikacji sposobu przetwarzania danych osobowych wskazanych w §1 ust. 1 Umowy powierzenia, w sposób każdorazowo ustalony przez Strony, po zgłoszeniu zamiaru takiej weryfikacji przez Zamawiającego z wyprzedzeniem minimum 14 dni.

  4. Wykonawca udostępni Zamawiającemu wszelkie informacje niezbędne do wykazania spełnienia obowiązku określonego w art. 28 Rozporządzenia.

  5. Po stwierdzeniu naruszeń niniejszej Umowy powierzenia przez Zamawiającego, Wykonawca jest zobowiązany do niezwłocznego ich usunięcia, nie później jednak niż w terminie i sposób ustalony pomiędzy Stronami.


§5

Podpowierzenie

  1. Zamawiający upoważnia Wykonawcę do dalszego powierzania wskazanych w§ 1 ust. 1 Umowy powierzenia danych osobowych.

  2. W przypadku podpowierzenia Wykonawca zobowiązany jest podpisać umową powierzenia danych osobowych z zapisami adekwatnymi do niniejszej Umowy powierzenia danych osobowych.


§ 6

Odpowiedzialność

  1. Wykonawca jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy powierzenia, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.

  2. Wykonawca jest zobowiązany do niezwłocznego poinformowania Zamawiającego o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania powierzonych danych osobowych oraz o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczących powierzonych na podstawie Umowy powierzenia danych osobowych oraz planowanych kontrolach w zakresie ochrony danych osobowych.



§ 7
Czas obowiązywania umowy

  1. Umowa powierzenia obowiązuje przez okres trwania Umowy.

  2. W każdym wypadku Umowa powierzenia przestaje wiązać Strony z dniem, z którym przestają być związane postanowieniami Umowy.


§ 8

Poufność

  1. Wykonawca zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Zamawiającego i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej (,,dane poufne”) .

  2. Wykonawca oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Zamawiającego w innym celu niż wykonanie Umowy lub Umowy powierzenia, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy powierzenia.

  3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych, w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.



§ 9

Postanowienia końcowe

  1. Umowa powierzenia zastępuje dotychczasowe umowy powierzenia danych osobowych w zakresie powierzania danych osobowych w związku z realizacją Umowy.

  2. Strony postanawiają, że osobą odpowiedzialną za realizację postanowień Umowy powierzenia jest:


ze strony Zamawiającego - Xxxxxxxx Xxxxx - Inspektor Ochrony Danych

email:xxx@xxx.xxx.xx


ze strony Wykonawcy - ---------------------------------------------------


  1. Każdorazowo przez pojęcie „dni” rozumie się dni kalendarzowe.

  2. Sądem właściwym do rozpatrywania sporów jest sąd właściwy dla siedziby Zamawiającego.

  3. Umowę powierzenia sporządzono w dwóch jednobrzmiących egzemplarzach.



Zamawiający Wykonawca

Document Metadata

Filed: November 26th, 2020