Załącznik nr 3 do Umowy ……./2020
Załącznik nr 3 do Umowy ……./2020
Umowa powierzenia przetwarzania danych osobowych
W dniu …………….pomiędzy:
SP ZOZ Zespół Szpitali Miejskich ul. Strzelców Bytomskich 11, 41-500 Xxxxxxx XXX 0000000000
wpisany do rejestru stowarzyszeń, i innych organizacji społecznych i zawodowych, fundacji oraz publicznych zakładów opieki zdrowotnej pod numerem KRS 0000011939, REGON 271503410, reprezentowany przez:
……………………………………………………………………….
zwany dalej Zamawiającym oraz
………………………………….. wpisany do rejestru przedsiębiorców pod numerem KRS ………………………reprezentowany przez:
…………………………………………………………………………
zwana dalej Wykonawcą, zostaje zawarta umowa następującej treści:
§ 1
Powierzenie przetwarzania danych osobowych
W związku z zawarciem i realizacją umowy dotyczącej prowadzenia prac serwisowych oprogramowania aplikacyjnego (dalej: Umowa), Zamawiający powierza Wykonawcy:
dane osobowe pacjentów w celu wykonania Umowy, w zakresie takich danych, jak:
Nazwisko i imię (imiona),
Adres zamieszkania,
PESEL,
Numer dowodu osobistego,
Dane dot. zdrowia,
Numer telefonu,
Email
Dane osób upoważnionych do dostępu do dokumentacji medycznej,
Dane osobowe opiekunów prawnych
Dane osobowe pracowników Zamawiającego, w zakresie takich danych jak:
Imię (imiona) i nazwisko
Imiona rodziców oraz data i miejsce urodzenia
Adres zamieszkania
Numer telefonu
Adres poczty elektronicznej
Dane przetwarzane w związku z zatrudnieniem
Dane członków rodzin
Numery kont bankowych
Zajęcia komornicze
Dane związane urzędem skarbowym oraz prowadzoną działalnością
PESEL, NIP, wykształcenie, doświadczenie zawodowe, kursy, specjalizacje
Nieobecności (głównie chodzi o chorobowe)
Dane kontrahentów będącymi osobami fizycznymi, w zakresie takich danych jak:
Imię (imiona) i nazwisko
Adres zamieszkania i adres siedziby
Numer NIP
Numer telefonu
Adres poczty elektronicznej
Numery kont bankowych
Zakres danych osobowych wymienionych w ust. 1 jest maksymalnym katalogiem danych, które mogą być przetwarzane w związku z realizacją Umowy. W rzeczywistości dane mogą być przekazywane przez Zamawiającego w mniejszym zakresie bez uszczerbku dla postanowień Umowy powierzenia. Zakres danych może ulec zmianie w przypadku zmiany aktualnie obowiązujących przepisów prawa.
Wykonawca zobowiązuje się przetwarzać Dane Osobowe pacjentów wskazane w par.1 ust.1 pkt.1.1 zgodnie z poleceniem Zamawiającego, przestrzegając:
postanowień Umowy powierzenia,
obowiązujących przepisów regulujących kwestię ochrony danych osobowych; w szczególności ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, a od dnia 25 maja 2018 r. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: Rozporządzenie).
§ 2
Zakres i cel przetwarzania danych
Zamawiający upoważnia Wykonawcę do przetwarzania w jego imieniu Danych Osobowych pacjentów, pracowników i kontrahentów wskazanych w par. 1 ust. 1 pkt. 1.1, 1.2 i 1.3 w celu i zakresie niezbędnym do realizacji postanowień Umowy, w szczególności w zakresie dostępu, przechowywania i opracowywania danych dla celów związanych z wykonywaniem serwisu oprogramowania.
§ 3
Obowiązki Podmiotu Przetwarzającego
Wykonawca zobowiązuje się:
stosować środki techniczne í organizacyjne zapewniające ochronę powierzonych danych, a w szczególności zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, utratą, uszkodzeniem lub zniszczeniem. W celu wykonania obowiązku, o którym mowa w zdaniu poprzedzającym, Wykonawca posiada wdrożony, certyfikowany System Zarządzania Bezpieczeństwem Informacji zgodnie z normą PN-ISO/IEC 27001,
przy przetwarzaniu powierzonych danych osobowych na podstawie Umowy powierzenia, zabezpieczy je poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia (RODO) i ochronę prawa osób, których dane dotyczą,
upoważnić do przetwarzania danych osobowych wskazanych w § 1 ust. 1 Porozumienia wszystkie osoby, które będą przetwarzały powierzone dane w celu realizacji Umowy i Umowy powierzenia,
prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych,
zapewnić zachowanie w tajemnicy przetwarzanych danych oraz sposobów ich zabezpieczenia przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji Umowy lub Umowy powierzenia, zarówno w trakcie zatrudnienia lub współpracy z Wykonawcą, jak i po ustaniu zatrudnienia lub współpracy.
Wykonawca pomaga Zamawiającemu:
w miarę swoich możliwości, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia (Prawa osoby, której dane dotyczą).
w wywiązywaniu się z obowiązków określonych w art. 32-36 Rozporządzenia, w szczególności w przypadku stwierdzenia naruszenia zasad ochrony i przetwarzania powierzonych danych osobowych na podstawie Umowy powierzenia, zgłasza je Zleceniodawcy za pośrednictwem osób wskazanych w §9 ust. 2 Umowy powierzenia bez zbędnej zwłoki, jednak nie później niż w terminie 48 godzin od chwili stwierdzenia naruszenia.
Wykonawca po zakończeniu trwania umowy jest zobowiązany do usunięcia powierzonych danych osobowych oraz usunięcia wszelkich ich istniejących kopii, o ile przepis prawa powszechnie obowiązującego nie nakazuje przechowywania danych osobowych.
§ 4
Prawo do kontroli
Zmawiający ma prawo kontroli, czy środki zastosowane przez Wykonawca przy przetwarzaniu danych spełniają postanowienia Umowy powierzenia i Rozporządzenia (po jego wejściu w życie).
Wykonawca na każdy pisemny wniosek Zamawiającego zobowiązany jest do udzielenia pisemnej informacji dotyczących przetwarzania powierzonych mu danych osobowych w terminie 14 dni od dnia otrzymania takiego wniosku.
Zamawiający ma prawo do faktycznej weryfikacji sposobu przetwarzania danych osobowych wskazanych w §1 ust. 1 Umowy powierzenia, w sposób każdorazowo ustalony przez Strony, po zgłoszeniu zamiaru takiej weryfikacji przez Zamawiającego z wyprzedzeniem minimum 14 dni.
Wykonawca udostępni Zamawiającemu wszelkie informacje niezbędne do wykazania spełnienia obowiązku określonego w art. 28 Rozporządzenia.
Po stwierdzeniu naruszeń niniejszej Umowy powierzenia przez Zamawiającego, Wykonawca jest zobowiązany do niezwłocznego ich usunięcia, nie później jednak niż w terminie i sposób ustalony pomiędzy Stronami.
§5
Podpowierzenie
Zamawiający upoważnia Wykonawcę do dalszego powierzania wskazanych w§ 1 ust. 1 Umowy powierzenia danych osobowych.
W przypadku podpowierzenia Wykonawca zobowiązany jest podpisać umową powierzenia danych osobowych z zapisami adekwatnymi do niniejszej Umowy powierzenia danych osobowych.
§ 6
Odpowiedzialność
Wykonawca jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy powierzenia, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
Wykonawca jest zobowiązany do niezwłocznego poinformowania Zamawiającego o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania powierzonych danych osobowych oraz o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczących powierzonych na podstawie Umowy powierzenia danych osobowych oraz planowanych kontrolach w zakresie ochrony danych osobowych.
§
7
Czas obowiązywania umowy
Umowa powierzenia obowiązuje przez okres trwania Umowy.
W każdym wypadku Umowa powierzenia przestaje wiązać Strony z dniem, z którym przestają być związane postanowieniami Umowy.
§ 8
Poufność
Wykonawca zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Zamawiającego i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej (,,dane poufne”) .
Wykonawca oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Zamawiającego w innym celu niż wykonanie Umowy lub Umowy powierzenia, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy powierzenia.
Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych, w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
§ 9
Postanowienia końcowe
Umowa powierzenia zastępuje dotychczasowe umowy powierzenia danych osobowych w zakresie powierzania danych osobowych w związku z realizacją Umowy.
Strony postanawiają, że osobą odpowiedzialną za realizację postanowień Umowy powierzenia jest:
ze strony Zamawiającego - Xxxxxxxx Xxxxx - Inspektor Ochrony Danych
email:xxx@xxx.xxx.xx
ze strony Wykonawcy - ---------------------------------------------------
Każdorazowo przez pojęcie „dni” rozumie się dni kalendarzowe.
Sądem właściwym do rozpatrywania sporów jest sąd właściwy dla siedziby Zamawiającego.
Umowę powierzenia sporządzono w dwóch jednobrzmiących egzemplarzach.
Zamawiający Wykonawca