UMOWA
UMOWA
POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w dniu roku we Wrocławiu pomiędzy:
Dolnośląskim Szpitalem Specjalistycznym im. T. Marciniaka - Centrum Medycyny Ratunkowej xx. Xxx. Xxxxxxx Xxxxx Xxxxxxxxx 0, 00-000 Xxxxxxx
zarejestrowanym w Sądzie Rejonowym dla Wrocławia-Fabrycznej we Wrocławiu VI Wydział Gospodarczy Krajowego Rejestru Sądowego KRS 0000040364, NIP 000-00-00-000, REGON 006320384
który reprezentuje:
1. ……………………….
2. ……………………….
- zwanym dalej „Zamawiającym”
a
…………………………………………………….
- zwanym/ą dalej „Wykonawcą”
Zwanymi dalej „Stroną” lub „Stronami”
Zważywszy, że w dniu ……. Strony zawarły umowę ………………………………………………………
(zwaną dalej: Umową Główną), Strony postanawiają zawrzeć niniejszą umowę powierzenia przetwarzania danych, (zwaną dalej: Umową), o następującej treści.
§ 1
1. Zamawiający oświadcza, że jest administratorem danych osobowych w rozumieniu przepisów powszechnie obowiązującego prawa z zakresu ochrony danych osobowych, tj. Rozporządzenia Parlamentu Europejskiego i Rady UE z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm. – zwanej dalej: RODO).
2. Niniejsza Umowa zastępuje wszystkie wcześniejsze regulacje Stron w obszarze ochrony danych osobowych.
3. Wykonawca oświadcza, że będzie przetwarzać dane osobowe wyłącznie na potrzeby realizacji Umowy Głównej, co dotyczy również przekazywania danych do państwa trzeciego lub organizacji międzynarodowej. Wykonawca może przetwarzać dane osobowe wyłącznie w celu realizacji przedmiotu Umowy Głównej oraz wykonania pozostałych operacji przetwarzania danych osobowych wskazanych w Umowie, nieobjętych wprost przedmiotem Umowy Głównej.
4. Zapisów ust. 3. powyżej nie stosuje się, jeżeli obowiązek przetwarzania danych osobowych nakładają na Wykonawcę przepisy prawa. W takiej sytuacji Wykonawca informuje Xxxxxxxxxxxxx o tym obowiązku przed rozpoczęciem przetwarzania, chyba że przepisy te zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny.
§ 2
1. Zamawiający powierza Wykonawcy, w trybie art. 28 RODO, dalej wskazane dane osobowe do przetwarzania, na zasadach i w celu określonym w Umowie.
2. Wykonawca zobowiązuje się przetwarzać powierzone dane osobowe zgodnie z Umową, RODO oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
3. Powierzone przez Zamawiającego dane osobowe będą przetwarzane przez Wykonawcę wyłącznie w celu realizacji Umowy Głównej.
4. Wykonawca może przetwarzać dane osobowe następujących kategorii osób:……………………………………., które Zamawiający przetwarza jako administrator lub jako podmiot przetwarzający w przypadku posiadania uprawnienia do dalszego powierzenia przetwarzania danych osobowych.
5. Wykonawca może przetwarzać następujące dane osobowe:………………………………………………………... Na danych tych będą wykonywane następujące operacje:……………………………………………………..
6. Zamawiający oświadcza, że charakter danych osobowych powierzanych Umową obejmuje/nie obejmuje szczególne kategorie danych osobowych w rozumieniu art. 9 ust. 1 RODO lub dane dotyczące wyroków skazujących i naruszeń prawa, w rozumieniu art. 10 RODO.
§ 3
1. Zamawiający ma prawo do kontroli sposobu wykonywania niniejszej Umowy przez Wykonawcę odnośnie zobowiązań, o których mowa w niniejszej Umowie, w szczególności do:
1) przeprowadzania bezpośredniej kontroli przetwarzania danych osobowych w siedzibie Wykonawcy i innych miejscach, w których następuje przetwarzanie danych osobowych będące przedmiotem niniejszej Umowy;
2) zlecania podmiotom zewnętrznym prowadzenia kontroli warunków przetwarzania danych osobowych.
2. Warunkiem przeprowadzenia kontroli jest zawiadomienie Wykonawcy w terminie 7 dni przed planowanym terminem jej przeprowadzenia. Wykonawca upoważniony jest odmówić przedstawicielom Zamawiającego przeprowadzenia czynności kontrolnych, jeżeli pojawią się oni w siedzibie Wykonawcy bez zawiadomienia, lub po zawiadomieniu, które nie uwzględnia terminu, o którym mowa w zdaniu poprzedzającym.
3. Przedstawiciele Zamawiającego uprawnieni do przeprowadzania czynności kontrolnych zobowiązani są powstrzymać się od działań mogących doprowadzić do naruszenia bezpieczeństwa przetwarzanych danych innych niż będące przedmiotem niniejszej Umowy.
4. Wykonawca udostępnia Zamawiającemu wszelkie informacje niezbędne do wykazania spełnienia nałożonych na niego Umową zobowiązań.
5. Uprawnienia określone w ust. 1-4 powyżej przysługują Zamawiającemu odpowiednio w stosunku do Podmiotów podpowierzenia, o których mowa § 6 ust. 1 Umowy, w przypadku powierzenia przez Wykonawcę przetwarzania danych Podmiotom podpowierzenia.
6. W związku z obowiązkiem określonym w ust. 2 powyżej, Wykonawca niezwłocznie informuje Zamawiającego, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów dotyczących ochrony danych osobowych.
§ 4
1. Wykonawca jest zobowiązany do wdrożenia i posiadania odpowiednich środków technicznych i organizacyjnych przetwarzania danych osobowych, zapewniających odpowiedni stopień bezpieczeństwa przetwarzania danych, zgodnie z obowiązującym prawem, stanem wiedzy technicznej oraz charakterem, zakresem, kontekstem i celem przetwarzania.
2. Wykonawca jest zobowiązany przedstawić zakres wdrożonych środków technicznych i
organizacyjnych przed podpisaniem niniejszej umowy oraz po jej zawarciu na każde żądanie Zamawiającego.
§ 5
Wykonawca zobowiązuje się do prowadzenia rejestru wszystkich kategorii czynności przetwarzania danych osobowych (zwany dalej: „Rejestrem”), dokonywanych w imieniu Xxxxxxxxxxxxx, w przypadku obowiązku prowadzenia takiego rejestru wynikającego z art. 30 ust. 5 RODO.
§ 6
1. Zamawiający nie wyraża ogólnej zgody, aby Wykonawca powierzył dalej przetwarzanie danych osobowych (dalej jako: Podpowierzenie) i wykonywanie zadań wynikających z Umowy podmiotowi trzeciemu (dalej jako: Podmiot podpowierzenia). Wykonawca o każdym zamiarze Podpowierzenia danych osobowych poinformuje Zamawiającego w formie pisemnej. Zamawiający może w ciągu 7 dni od dnia poinformowania go przez Wykonawcę, zgłosić sprzeciw wobec Podpowierzenia. W przypadku zgody Zamawiającego na Podpowierzenie, Wykonawca w umowie Podpowierzenia zobowiązuje Podmiot podpowierzenia przed rozpoczęciem przetwarzania danych osobowych do podjęcia środków technicznych i organizacyjnych mających na celu zabezpieczenie powierzonych danych osobowych, stosownie do przepisów, o których mowa w art. 32 RODO. Środki techniczne i organizacyjne podjęte przez Podmiot podpowiedzenia powinny zapewniać ten sam lub wyższy stopień bezpieczeństwa co środki wdrożone przez Wykonawcę.
2. Dostęp do powierzonych danych osobowych mogą posiadać tylko osoby, którym Wykonawca nadał upoważnienia, o których mowa w art. 29 RODO.
3. Wykonawca zobowiązuje się dopilnować, aby każda osoba upoważniona zobowiązała się pisemnie do zachowania poufności w czasie trwania zatrudnienia oraz po jego zakończeniu niezależnie od formy zatrudnienia, w zakresie przetwarzania powierzonych osobie upoważnionej danych osobowych.
4. Wykonawca może przetwarzać dane osobowe wyłącznie w celu określonym w Umowie i wyłącznie w okresie trwania Umowy Głównej. Wykonawca oświadcza, że w razie stwierdzenia naruszenia ochrony danych osobowych niezwłocznie poinformuje o tym Zamawiającego, zgodnie z art. 33 RODO.
§ 7
1. Wykonawca odpowiada za szkody majątkowe lub niemajątkowe, jakie powstały wobec Zamawiającego lub osób trzecich w wyniku przetwarzania danych osobowych niezgodnego z Umową lub obowiązkami nałożonymi przez przepisy powszechnie obowiązujące lub RODO bezpośrednio na Wykonawcę oraz w wyniku działania poza zgodnymi z prawem instrukcjami Zamawiającego lub wbrew tym instrukcjom.
2. Zamawiający odpowiada za szkody majątkowe lub niemajątkowe, jakie powstały wobec osób trzecich w wyniku przetwarzania danych naruszającego RODO lub inne przepisy dotyczące ochrony danych osobowych.
3. Strony są zwolnione z odpowiedzialności wynikającej z ust. 1 i 2 powyżej, jeżeli udowodnią, że zdarzenie, które doprowadziło do powstania szkody, jest przez nie niezawinione. Jeżeli w tym samym przetwarzaniu biorą udział obie Strony i są odpowiedzialne za szkodę spowodowaną przetwarzaniem zgodnie z ust. 1 lub 2 powyżej, ponoszą one odpowiedzialność solidarną. Strona, która zapłaciła odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od drugiej Strony, która uczestniczyła w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponosi odpowiedzialność, zgodnie z warunkami określonymi w ust. 1 lub 2 powyżej.
4. Wykonawca ponosi odpowiedzialność za działania lub zaniechania Podmiotu podpowierzenia, dotyczące przetwarzania powierzonych danych osobowych, jak za działania lub zaniechania własne, przez co postanowienia dotyczące odpowiedzialności Wykonawcy na warunkach opisanych powyżej obejmują także odpowiedzialność Wykonawcy za działania lub zaniechania Podmiotów podpowierzenia.
§ 8
1. Wykonawca zobowiązuje się do zachowania w tajemnicy zarówno powierzonych danych, jak również informacji dotyczących sposobów ich zabezpieczenia. Obowiązek zachowania poufności trwa bezterminowo.
2. Wykonawca oświadcza, że każda osoba przez niego zaangażowana, mająca dostęp do danych osobowych, uzyskała odrębne pisemne upoważnienie, zobowiązała się do zachowania poufności takich danych oraz będzie je przetwarzała wyłącznie na polecenie Wykonawcy, w granicach realizacji Umowy.
3. Wykonawca oświadcza, że w razie stwierdzenia:
1) wycieku danych osobowych, w tym zagubienia nośnika danych osobowych;
2) utraty danych osobowych;
3) nieautoryzowanej zmiany danych osobowych;
4) innego przypadku mogącego wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób, których dane dotyczą;
zawiadomi o takiej okoliczności Zamawiającego niezwłocznie, jednak w każdym przypadku nie później niż w ciągu 24 godzin od daty stwierdzenia, podając przy tym wszystkie okoliczności zdarzenia.
4. Wykonawca niezwłocznie po stwierdzeniu zdarzenia, o którym mowa w ust. 3 powyżej, zobowiązany jest:
1) zabezpieczyć wszelkie dowody na okoliczność zdarzenia;
2) wyeliminować przyczynę naruszenia, o ile jest to jeszcze możliwe;
3) podjąć stosowne środki zaradcze dla ograniczenia skutków wystąpienia naruszenia.
5. W przypadku naruszeń ochrony danych osobowych innych niż te określone w ust. 3 powyżej, Wykonawca zobowiązany jest poinformować o takiej okoliczności Zamawiającego nie później niż w terminie 48 godzin od chwili ich stwierdzenia, podając przy tym wszystkie okoliczności zdarzenia. Postanowienia ust. 4 powyżej stosuje się odpowiednio, niezależnie od powyższych obowiązków informacyjnych.
6. Wykonawca zobowiązuje się do niezwłocznego poinformowania Zamawiającego o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Wykonawcę danych osobowych określonych w niniejszej umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Wykonawcy, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania u Wykonawcy tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Zamawiającego.
§ 9
1. Wykonawca zobowiązany jest udzielać Zamawiającemu wszelkich informacji dotyczących przetwarzania powierzonych jej przez Zamawiającego danych osobowych i realizować niezbędne działania mające na celu zadośćuczynienie prawom osoby, której dane dotyczą, w szczególności w zakresie określonym w Rozdziale III RODO (np. prawo do bycia zapomnianym). Wykonawca zobowiązany jest stosować odpowiednie środki organizacyjne oraz techniczne pozwalające na realizację ww. praw.
2. Biorąc pod uwagę charakter przetwarzania danych oraz posiadane informacje, Wykonawca zobowiązuje się do pomocy Zamawiającemu w zakresie wywiązywania się z obowiązków wymienionych w art. 32-36 RODO, tj. w szczególności dotyczących wdrażania odpowiednich środków technicznych i organizacyjnych, zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu oraz osobie, której dane dotyczą, co oznacza udzielenie Zamawiającemu na każde jego żądanie i we wskazanym przez niego terminie, wszelkich wyjaśnień i innych form wsparcia, w tym informacji o stanie faktycznym, które pomogą Zamawiającemu w spełnieniu jego obowiązków wynikających z RODO.
§ 10
1. Strony zgodnie oświadczają, że niniejsza umowa obowiązuje na czas trwania Umowy Głównej.
2. Umowa ulega rozwiązaniu bez odrębnego wypowiedzenia z chwilą wygaśnięcia lub rozwiązania Umowy Głównej.
3. Z chwilą rozwiązania Umowy Głównej Wykonawca nie ma prawa do dalszego przetwarzania powierzonych danych i jest zobowiązany do usunięcia danych oraz usunięcia wszelkich istniejących kopii danych osobowych lub zwrotu danych chyba, że Zamawiający postanowi inaczej lub prawo Unii Europejskiej lub prawo polskie nakazują dalsze przechowywanie danych.
4. Wykonawca usunie posiadane dane osobowe najpóźniej w dniu zakończenia Umowy Głównej, chyba że Zamawiający poleci mu zrobić to wcześniej.
5. Po usunięciu danych Wykonawca w terminie 7 dni złoży Zamawiającemu pisemne oświadczenie o wykonaniu obowiązku wskazanego w ust. 3-4 powyżej.
§ 11
1. Wykonawca zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Zamawiającego i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej (dalej jako: „Dane poufne”).
2. Wykonawca oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy Danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Zamawiającego w innym celu niż realizacja Umowy Głównej chyba, że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy Głównej.
§ 12
1. Zmiana Umowy może nastąpić tylko w formie pisemnego aneksu podpisanego przez obie Strony pod rygorem nieważności.
2. W sprawach nieuregulowanych Umową mają zastosowania odpowiednie przepisy Kodeksu cywilnego, RODO, a także przepisy innych ustaw regulujących ochronę danych osobowych.
3. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
4. Umowa wchodzi w życie z dniem zawarcia.