PROJEKT
Załącznik nr 4 do umowy nr ......................... z dnia .......................
PROJEKT
Umowa Powierzenia Przetwarzania Danych Osobowych
zawarta w dniu …………………... roku w Warszawie pomiędzy
Samodzielnym Zespołem Publicznych Zakładów Lecznictwa Otwartego Warszawa-Mokotów z siedzibą w Warszawie, xx. Xxxxxxxxxxxxx 00, 00-000 Xxxxxxxx, wpisanym do rejestru stowarzyszeń, innych organizacji społecznych i zawodowych, fundacji oraz samodzielnych publicznych zakładów opieki zdrowotnej prowadzonego przez Sąd Rejonowy dla x.xx. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS 0000126423, NIP: 000-00-00-000, REGON: 000985823 reprezentowanym przez:
Dyrektora –……………………
Zwanym dalej: „Administratorem” a firmą:
……………………………………………………
reprezentowaną przez:
……………… –……………………
Zwaną dalej „Przetwarzającym”
Zwanymi także dalej wspólnie „Stronami” lub każda z osobna „Stroną”,
Definicje
1. Przetwarzający – podmiot, któremu powierzono przetwarzanie danych osobowych na mocy umowy powierzenia przetwarzania danych z Administratorem
2. Administrator - organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych
3. Przetwarzanie - oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie
4. Rozporządzenie - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
5. Naruszenie ochrony danych osobowych - naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
6. Dane dotyczące zdrowia - dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej - w tym o korzystaniu z usług opieki zdrowotnej - ujawniające informacje o stanie jej zdrowia;
7. Organ Nadzorczy – niezależny organ publiczny ustanowiony przez państwo członkowskie w celu ochrony podstawowych praw i wolności osób fizycznych w- związku z przetwarzaniem.
Preambuła
Zważywszy, że Administrator, zawarł z Przetwarzającym Umowę nr ………….. z dnia ………….. roku (dalej
„Umowa podstawowa”) przedmiotem, których jest ………………………, z realizacją której związane jest dokonywanie operacji na danych osobowych, Strony postanawiają zawrzeć niniejszą Umowę powierzenia przetwarzania danych osobowych (dalej „Umowa”) celem ustalenia warunków, na jakich Przetwarzający będzie wykonywał operacje przetwarzania danych osobowych.
Strony zawierając Umowę dążą do takiego uregulowania zasad przetwarzania danych osobowych, aby odpowiadały one w pełni postanowieniom Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
§ 1
Przedmiot Umowy
1. W związku z wykonywaniem Umowy podstawowej, Administrator powierza dane osobowe Przetwarzającemu do przetwarzania, Przetwarzający zaś przyjmuje dane osobowe i zobowiązuje się do ich przetwarzania zgodnego z prawem i Umową.
2. Przetwarzający może przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w Umowie, oraz zgodnie z innymi udokumentowanymi poleceniami Administratora, przy czym za takie udokumentowane polecenia uważa się postanowienia Umowy oraz ewentualne inne polecenia przekazywane przez Administratora drogą elektroniczną lub na piśmie.
§ 2
Cel, charakter i zakres przetwarzania
3. Celem powierzenia danych przez Administratora do przetwarzania Przetwarzającemu jest realizacja Umowy podstawowej tj. ……………………………….
4. Przetwarzający jest uprawniony do wykonywania na powierzonych do przetwarzania danych osobowych, operacji przetwarzania uzasadnionych i niezbędnych dla realizacji zobowiązań będących przedmiotem Umowy podstawowej, w związku z którą dochodzi do przetwarzania. Przetwarzający zapewnia o działaniu w zgodzie z Rozporządzeniem, przepisami prawa oraz w zakresie niezbędnym do realizacji Umowy podstawowej.
5. Dane osobowe będą przez Przetwarzającego przetwarzane poprzez bezpośredni dostęp do …………………...
6. Przetwarzający zobowiązuje się do przetwarzania danych osobowych następujących kategorii osób, których dane dotyczą: ……………………………, ……………………………..
7. Przetwarzający może przetwarzać następujący rodzaj danych osobowych: ………………………………….
8. Przetwarzający będzie w szczególności wykonywał następujące operacje dotyczące powierzonych danych osobowych – ……………………………………………..
9. Przetwarzający nie będzie przekazywał danych osobowych do państwa trzeciego lub organizacji międzynarodowej.
§3
Zasady przetwarzania
1. Przetwarzający zapewnia, że zgodnie z wymaganiami Rozporządzenia, dane osobowe będą przetwarzane za pomocą odpowiednich środków technicznych i organizacyjnych w sposób zapewniający odpowiednią ich ochronę, w tym ochronę przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
2. Przetwarzający zobowiązuje się pomagać Administratorowi poprzez odpowiednie środki techniczne i organizacyjne w zakresie udzielania odpowiedzi na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w art. 15-22 Rozporządzenia (Rozdział III Rozporządzenia). W szczególności Przetwarzający zobowiązuje się – na żądanie Administratora – do przygotowania i przekazania Administratora informacji potrzebnych do spełnienia żądania osoby, której dane dotyczą, w ciągu 3 dni od dnia otrzymania żądania Administratora.
3. Przetwarzający zobowiązuje się do pomocy Administratorowi w wywiązaniu się z obowiązków określonych w art. 32-36 Rozporządzenia.
4. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, Przetwarzający obowiązany jest zastosować odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Przetwarzający obowiązany jest odpowiednio udokumentować zastosowanie tych środków, a także uaktualniać te środki w porozumieniu z Administratorem.
5. Do przetwarzania danych osobowych przez Przetwarzający, w celu i zakresie wynikającym z Umowy oraz na polecenie Administratora, mogą być dopuszczone jedynie osoby posiadające imienne upoważnienie do przetwarzania danych osobowych. Imienne upoważnienia, są ważne do dnia odwołania, nie później jednak niż do dnia wygaśnięcia lub rozwiązania Umowy podstawowej.
6. Przetwarzający zobowiązuje się do zachowania w tajemnicy, o której mowa w art. 28 ust. 3 lit. b) Rozporządzenia, danych przetwarzanych w zakresie umowy, a w szczególności nieudostępniania ich innym podmiotom, także w postaci zagregowanych danych, zarówno podczas trwania umowy, jak i po jej ustaniu oraz gwarantuje, że osoby przetwarzające dane osobowe w ramach Umowy zobowiązane są do bezterminowego zachowania tajemnicy w zakresie przetwarzanych danych osobowych oraz sposobów zabezpieczenia danych osobowych.
7. Administrator umocowuje Przetwarzającego do wydawania i odwoływania jego pracownikom / współpracownikom imiennych upoważnień do przetwarzania danych osobowych.
8. Przetwarzający prowadzi ewidencję swoich pracowników/współpracowników upoważnionych do przetwarzania danych osobowych w związku z wykonywaniem Umowy oraz informuje Administratora o zmianach w zakresie osób upoważnionych do przetwarzania danych osobowych.
9. Przetwarzający, na żądanie Administratora, zobowiązany jest przedstawić aktualną listę osób z przyznanym dostępem do danych osobowych.
10. Przetwarzający zaznajomi osoby upoważnione do przetwarzania danych osobowych z przepisami dotyczącymi ochrony danych osobowych i odpowiedzialnością za ochronę tych danych przed niepowołanym dostępem, nieuzasadnioną modyfikacją, zniszczeniem, nielegalnym ujawnieniem lub zebraniem.
11. Przetwarzający zobowiązany jest prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora, o których mowa w art. 30 ust. Rozporządzenia i udostępniać go Administratorowi na jego żądanie, chyba, że Przetwarzający jest zwolniony z tego obowiązku na podstawie art. 30 ust. 5 Rozporządzenia.
§4
Obowiązki i prawa
1. Administrator ma prawo weryfikacji przestrzegania zasad przetwarzania danych osobowych wynikających z Rozporządzenia, Umowy i przepisów prawa przez Przetwarzającego, poprzez prawo żądania udzielenia wszelkich informacji dotyczących powierzonych danych osobowych.
2. Administrator ma prawo przeprowadzania w każdym czasie audytów lub inspekcji Przetwarzającego w zakresie zgodności operacji przetwarzania z Rozporządzeniem, Umową i przepisami prawa.
3. Przetwarzający zobowiązuje współpracować z Administratorem przy czynnościach audytów lub inspekcji prowadzonych przez Administratora poprzez udzielanie wszelkich informacji dotyczących powierzonych do przetwarzania danych osobowych, w szczególności udostępnić dokumentację, pomieszczenia i infrastrukturę techniczną w zakresie niezbędnym do przeprowadzenia audytu lub inspekcji.
4. Przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas audytu lub inspekcji w terminie wskazanym przez Administratora.
5. Administrator realizować będzie prawo audytu lub inspekcji z minimum 7 dniowym uprzedzeniem o terminie, w godzinach pracy Przetwarzającego, oraz wskazaniem zakresu audytu lub inspekcji.
6. Audyty lub inspekcje mogą być przeprowadzone przez osobę upoważnioną przez Administratora.
7. Przetwarzający niezwłocznie poinformuje Administratora, jeżeli – jego zdaniem – wydane mu przez Administratora polecenie stanowi naruszenie Rozporządzenia lub innych przepisów prawa w zakresie ochrony danych osobowych.
§5
Zgłaszanie incydentów oraz innych czynności
1. Przetwarzający zobowiązuje się w przypadku podejrzenia naruszenia ochrony danych osobowych:
a) do poinformowania o tym Administratora niezwłocznie, nie później niż w ciągu 24 godzin od jego wykrycia, w tym przekazania informacji, o których mowa w art. 33 Rozporządzenia tj.
• opis charakteru naruszenia ochrony danych osobowych w tym w miarę możliwości wskazanie kategorii i przybliżonej liczby osób, których dane zostały naruszone oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
• opis możliwych konsekwencji naruszenia;
• opis zastosowanych lub proponowanych do zastosowania przez Administratora środków w celu zaradzenia naruszeniu, w tym minimalizacji jego negatywnych skutków;
• w przypadku powołania inspektora ochrony danych jego imię, nazwisko oraz dane kontaktowe.
b) Przeprowadzenia wstępnej analizy ryzyka naruszenia praw i wolności osób, których dane dotyczą i przekazania wyników tej analizy do Administratora w ciągu 36 godzin od wykrycia zdarzenia stanowiącego naruszenie ochrony danych osobowych.
c) Przekazania administratorowi – na jego żądanie – wszystkich informacji niezbędnych do zawiadomienia osoby, której dane dotyczą zgodnie z art. 34 Rozporządzenia, w ciągu 48 godzin od wykrycia zdarzenia stanowiącego naruszenie ochrony danych osobowych.
2. Przetwarzający zobowiązuje się do niezwłocznego (lecz nie później niż w terminie 2 dni roboczych) poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania powierzonych danych osobowych przez Przetwarzającego, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania powierzonych danych osobowych, skierowanej do Przetwarzającego, a także o wszelkich kontrolach i inspekcjach dotyczących przetwarzania powierzonych danych osobowych przez Przetwarzającego, w szczególności prowadzonych przez Organ nadzorczy.
3. Powiadomienia, o których mowa w punkcie 1 i 2 niniejszego paragrafu, będą odbywały się za pośrednictwem poczty elektronicznej na adres Administratora wskazany w § 9 Umowy, oraz w formie pisemnej listem poleconym.
4. Przetwarzający zobowiązuje się stosować do ewentualnych wskazówek lub zaleceń wydanych przez Organ nadzorczy zajmujący się ochroną danych osobowych, dotyczących przetwarzania danych osobowych, w szczególności w zakresie stosowania Rozporządzenia.
§ 6
Korzystanie przez Przetwarzającego z usług innego podmiotu przetwarzającego
Przetwarzający nie korzysta bez uprzedniej pisemnej zgody Administratora z usług innego podmiotu przetwarzającego w celu wykonywania czynności przetwarzania danych osobowych powierzonych w ramach Umowy.
§ 7
Odpowiedzialność Przetwarzającego
1. Przetwarzający odpowiedzialny jest za przetwarzanie danych niezgodnie z treścią Umowy, Przetwarzający odpowiada za wszelkie szkody (majątkowe, niemajątkowe), jakie powstaną u Administratora lub osób trzecich,
w wyniku niezgodnego z Umową, Rozporządzeniem lub innymi przepisami prawa dotyczącymi ochrony danych osobowych, przetwarzania powierzonych danych osobowych.
2. W celu uniknięcia wątpliwości Przetwarzający ponosi odpowiedzialność za działania swoich pracowników i innych osób, przy pomocy których przetwarza dane osobowe, jak za własne działania i zaniechania.
3. Za niezgodne z Umową, Rozporządzeniem lub przepisami prawa przetwarzanie danych osobowych należy także rozumieć sytuację, gdy Organ nadzorczy odpowiedzialny za nadzór nad przestrzeganiem zasad przetwarzania danych osobowych stwierdzi, że Przetwarzający nie respektuje tych zasad.
4. Strony mają obowiązek współpracować w przypadku jakichkolwiek postępowań administracyjnych, jak i sądowych, w tym prowadzonych przez Organ nadzorczy, prowadzonych w związku z przetwarzaniem danych osobowych powierzonych Przetwarzającemu w ramach Umowy.
§ 8
Czas trwania
1. Niniejsza umowa zawarta jest na czas trwania Umowy podstawowej. Z chwilą rozwiązania Umowy Podstawowej lub jej wygaśnięcia Przetwarzający traci prawo do przetwarzania danych osobowych objętych daną Umową Podstawową i zobowiązuje się niezwłocznie, nie dłużej niż w terminie 7 dni, usunąć wszelkie dane osobowe, także ze wszelkich nośników, programów, aplikacji, pozostających w jego dyspozycji, w tym również wszelkich kopii.
2. Przez usunięcie danych, o którym mowa w ust. 1, rozumieć należy takie zniszczenie, które nie pozwoli na ich ponowne odtworzenie.
3. Przetwarzający złoży Administratorowi pisemne oświadczenie potwierdzające trwałe usunięcie wszystkich danych.
§9
Komunikacja
Wszelkie oświadczenia i powiadomienia wynikające z Umowy, składane przez Strony w postaci elektronicznej, winny być składane na następujące adresy poczty elektronicznej:
• dla Administratora: xxx@xxxxxxxxxx.xx,
• dla przetwarzającego: ……………………………
§10
Postanowienia końcowe
1. W zakresie nieuregulowanym niniejszą Umową mają zastosowanie przepisy prawa obowiązującego na terenie Rzeczypospolitej Polskiej, w tym Rozporządzenia.
2. Sądem właściwym do rozstrzygnięcia sporów związanych z Umową będzie sąd właściwy miejscowo dla siedziby Administratora.
3. Umowa wchodzi w życie z dniem podpisania.
4. W przypadku, gdy Xxxxxx zawarły uprzednio jakąkolwiek umowę dotyczącą powierzenia przetwarzania danych osobowych w celu wykonania Umowy podstawowej, w związku z którą dochodzi do przetwarzania danych osobowych przez Przetwarzającego, umowa taka przestaje w całości obowiązywać z chwilą wejścia w życie Umowy. Tym samym Umowa zastępuje w całości wszelkie uprzednio zawarte przez Strony umowy bądź klauzule dotyczące powierzenia przetwarzania danych osobowych zawarte w Umowie podstawowej, w związku z którą dochodzi do przetwarzania danych osobowych przez Przetwarzającego.
5. Umowa stanowi integralną część Umowy podstawowej.
6. Wszelkie zmiany Umowy wymagają formy pisemnej pod rygorem nieważności.
7. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
Administrator Przetwarzający
.................................... …….................................