UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Załącznik nr 2 do Umowy …………………

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

zawarta w dniu …...…- …...…-2023 roku w Warszawie pomiędzy:

Narodowym Instytutem Onkologii im. Xxxxx Xxxxxxxxxxxx-Xxxxx – Państwowym Instytutem Badawczym z siedzibą w Warszawie, adres: 00-000 Xxxxxxxx, xx. W. K. Xxxxxxxxx 0, wpisanym do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla x.xx. Warszawy, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS 0000144803, NIP 000-000-00-00, Regon 000288366,

zwanym dalej „Administratorem”, w imieniu którego działa, należycie umocowany:

…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………….

a

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Mając na uwadze, że:

• Strony zawarły umowę nr……………………………… („Umowa Podstawowa”), w związku z wykonywaniem której Administrator powierzy Przetwarzającemu przetwarzanie danych osobowych w zakresie określonym Umową;

• Celem niniejszej umowy (dalej „Umowa”) jest ustalenie warunków, na jakich Przetwarzający wykonuje operacje przetwarzania Danych Osobowych w imieniu i na zlecenie Administratora;

• Strony zawierają Umowę dążą do takiego uregulowania zasad przetwarzania Danych Osobowych, aby odpowiadały one w pełni postanowieniom rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1).

W niniejszej Umowie poniższe wyrażenia otrzymują następujące znaczenia:

Przetwarzający – podmiot, któremu Administrator powierza przetwarzanie danych osobowych na mocy niniejszej umowy.

Podprzetwarzający – podmiot któremu Przetwarzający powierza dalsze przetwarzanie danych osobowych powierzonych do przetwarzania przez Administratora.

Xxxx Xxxxxxx – dane osobowe w rozumieniu Rozporządzenia dotyczące pacjentów i pracowników, przekazywane przez Zamawiającego Wykonawcy do przetwarzania.

Przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych
w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, przechowywanie, porządkowanie, adoptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, ograniczanie, usuwanie lub niszczenie.

Rozporządzenie (RODO) - rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679
z 27.04.2016 r.

Ustawa - ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych ( Dz. U. z 2018 r. poz. 1000).

Xxxxxx postanowiły zawrzeć niniejszą umowę, o następującej treści:

1. Przedmiot Umowy

1. Na podstawie Umowy, Powierzający powierza Przetwarzającemu przetwarzanie dalej opisanych Danych Osobowych na warunkach określonych Umową i Umową Podstawową. Umowa stanowi umowę powierzenia przetwarzania danych osobowych, o której mowa w art. 28 ust. 3 RODO.

2. Celem powierzenia jest:

   1. wsparcie Zamawiającego w utrzymaniu platformy do realizacji zadania pn. „Certyfikacja kolposkopistów realizujących Program profilaktyki raka szyjki macicy” (dalej: Certyfikacja);

   2. kontakt z wyznaczonymi pracownikami Zamawiającego w zakresie niezbędnym do realizacji Umowy Podstawowej.

3. W ramach Umowy przetwarzane będą Dane Osobowe, dotyczące w szczególności następujących kategorii osób:

1. Osoby uczestniczące w Certyfikacji;

2. Pracownicy oraz Współpracownicy Powierzającego.

4. W ramach Umowy przetwarzane będą dane osobowe (dalej „Dane Osobowe”), co obejmuje w szczególności następujące rodzaje danych:

   1. nazwisko i imię (xxxxxx);

   2. adres e-mail;

   3. numer telefonu;

   4. numer prawa do wykonywania zawodu lekarza;

   5. miejsce zatrudnienia, w którym uczestnik realizuje etap pogłębionej diagnostyki w ramach Programu profilaktyki raka szyjki macicy;

   6. nazwiska i imiona Pracowników oraz Współpracowników Powierzającego oraz ich adresy e-mail;

2. Okres obowiązywania Umowy

1. Umowa zostaje zawarta na okres realizacji Umowy Podstawowej.

2. Administrator może wypowiedzieć niniejszą Umowę ze skutkiem natychmiastowym w przypadku naruszenia przez Przetwarzającego postanowień Umowy, przepisów Ustawy lub Rozporządzenia, w szczególności w przypadku udostępniania Danych Osobowych osobom nieuprawnionym,
   a także w przypadku, gdy:

1. organy administracji państwowej odpowiedzialne za nadzór nad przestrzeganiem zasad przetwarzania danych osobowych stwierdzą, że Przetwarzający nie przestrzega tych zasad;

2. Administrator, w wyniku przeprowadzenia kontroli stwierdzi, że Przetwarzający nie przestrzega zasad przetwarzania Danych Osobowych lub przepisów Rozporządzenia;

3. Przetwarzający utrudnia lub uniemożliwia przeprowadzenie kontroli o której mowa
   w niniejszej umowie.

3. Obowiązki Przetwarzającego

1. Oprócz zgodności z regułami podanymi w Umowie, Przetwarzający zapewni zgodność
   z wymaganiami, o których jest mowa w Artykułach od 28 do 33 RODO. Przetwarzający
   w szczególności oświadcza, że wdrożył środki techniczne oraz organizacyjne, które są niezbędne
   do wykonania Umowy zgodnie z art. 32 RODO. Środki techniczne i organizacyjne, o których mowa w zdaniu poprzedzającym będą w szczególności zgodne z Artykułem 28 ust. 3 lit. c) oraz z art. 32 RODO w związku z Artykułem 5 ust. 1-2 RODO. Środki te związane są z bezpieczeństwem danych oraz i gwarantują poziom ochrony odpowiedni do ryzyka w zakresie poufności, integralności, dostępności oraz odporności Systemów, z uwzględnieniem poziomu techniki, kosztów wdrażania, charakteru, zakresu oraz celów przetwarzania a także prawdopodobieństwa wystąpienia oraz skali ryzyka dla praw oraz swobód osób fizycznych w rozumieniu Artykułu 32 Paragraf 1 RODO (co opisano w Załączniku nr 1 do Umowy). Środki techniczne oraz organizacyjne są przedmiotem postępu technicznego oraz dalszego rozwoju, wobec czego Przetwarzający może wdrażać adekwatne środki alternatywne. Jednakże w takim wypadku nie może mieć miejsca obniżenie poziomu bezpieczeństwa określonych środków.

2. Przetwarzający informuje, iż powołał Inspektora Ochrony Danych Osobowych, z którym można skontaktować się : tel. ..............................., e-mail:……………………………………….

Aktualne dane Inspektora Ochrony Danych Osobowych są dostępne na stronie internetowej Przetwarzającego.

3. Przetwarzający będzie prowadzić okresowe monitorowanie procesów wewnętrznych i środków technicznych oraz organizacyjnych w celu zapewnienia, aby przetwarzanie danych w jego obszarze odpowiedzialności było zgodne z wymagania obowiązującego prawa w zakresie ochrony danych oraz ochrony praw Podmiotu Danych (osoby, której dotyczą dane).

4. Przetwarzający w ramach Umowy przetwarza Dane Osobowe wyłącznie na podstawie udokumentowanych poleceń lub instrukcji Powierzającego.

5. Przetwarzanie Danych Osobowych w ramach Umowy zostanie powierzone przez Przetwarzającego tylko takim jego pracownikom, którzy zostaną zobowiązani do zachowania poufności oraz którzy uprzednio zostali zapoznani z postanowieniami w zakresie ochrony danych związanych z ich pracą. Przetwarzający oraz każda osoba działająca z upoważnienia Przetwarzającego, która będzie posiadać dostęp do Danych Osobowych nie będzie przetwarzać tych Danych bez polecenia Powierzającego, chyba że wymagają tego obowiązujące przepisy prawa.

6. Przetwarzanie Danych Osobowych nie będzie realizowane poza terenem Unii Europejskiej (UE)
   lub Kraju Członkowskiego Europejskiej Wspólnoty Gospodarczej.

7. W trakcie wykonywania Umowy Przetwarzający będzie współpracować z organem nadzoru
   na wniosek tego organu. Przetwarzający będzie informował Powierzającego o wszelkich kontrolach oraz środkach podejmowanych przez organ nadzoru jeżeli mają one związek z Umową.

8. Jeżeli Powierzający jest przedmiotem kontroli prowadzonej przez organ nadzoru, postępowania administracyjnego lub karnego z powodu przestępstwa lub wykroczenia, roszczenia wniesionego przez osobę, której dotyczą Dane Osobowe lub przez stronę trzecią w związku z przetwarzaniem Danych Osobowych przez Powierzającego, Przetwarzający dołoży wszelkich starań w celu wsparcia Powierzającego.

4. Poufność

1. Przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).

2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.

5. Korekta, ograniczanie oraz usuwanie danych

1. Przetwarzający może usuwać lub ograniczać przetwarzanie Danych Osobowych jedynie
   na podstawie udokumentowanych poleceń od Powierzającego.

2. Jeżeli Podmiot Danych (osoba, której dotyczą dane) skontaktuje się bezpośrednio
   z Przetwarzającym w związku z korektą, usunięciem lub ograniczeniem przetwarzania, Przetwarzający natychmiast przekaże Powierzającemu wniosek tego Podmiotu Danych.

6. Dalsze powierzenie przetwarzania Danych Osobowych

1. Przetwarzający może powierzyć przetwarzanie Danych Osobowych innym podmiotom przetwarzającym, co w szczególności dotyczy podwykonawców Przetwarzającego, angażowanych przez niego przy realizacji Umowy Podstawowej.

2. Przetwarzający może powierzyć przetwarzanie Danych Osobowych innym podmiotom
   pod warunkiem uzyskania zgody Powierzającego.

3. Przystąpienie do przetwarzania danych przez podmioty, o których mowa w ust. 6.1 może nastąpić po zapewnieniu przez te podmioty zgodności z wszystkimi wymaganiami Umowy, odnoszącymi się do Przetwarzającego.

4. Powierzenie przetwarzania Danych Osobowych innym podmiotom nie zmniejsza zakresu odpowiedzialności Przetwarzającego wynikającego w Umowy.

5. Przetwarzający zobowiązuje się do natychmiastowego rozwiązania umowy z podmiotem Podprzetwarzającym w przypadku, gdy Podprzetwarzający nie przestrzega zasad przetwarzania danych osobowych wynikających z obowiązujących przepisów prawa.

7. Uprawnienia Powierzającego w zakresie nadzoru

1. Przetwarzający zapewni Powierzającemu możliwość weryfikacji zgodności ze zobowiązaniami Przetwarzającego wynikających z art. 28 RODO.

2. Powierzający ma prawo do przeprowadzania kontroli albo do powierzania ich wykonywania przez audytora, który zostanie wyznaczony indywidualnie w każdym wypadku. Przetwarzający zobowiązuje się, że dostarczy Powierzającemu, na jego żądanie niezbędnych informacji,
   a w szczególności dotyczących środków technicznych i organizacyjnych stosowanych przy przetwarzaniu Danych Osobowych.

3. Powierzający będzie realizował prawo kontroli w dni robocze, w godzinach pracy Przetwarzającego z co najmniej 7-dniowym wyprzedzeniem. Za dni robocze Xxxxxx uważać będą dni od poniedziałku do piątku, z wyjątkiem dni ustawowo wolnych od pracy na terytorium Rzeczypospolitej Polskiej.

4. Przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli,
   w terminie wskazanym przez Powierzającego, który nie może jednak być krótszy niż 5 dni.

8. Komunikacja w przypadku naruszeń zasad przetwarzania Danych Osobowych

1. Przetwarzający powinien wspierać Powierzającego w zachowaniu zgodności ze zobowiązaniami
   w zakresie bezpieczeństwa danych osobowych, wymaganiami odnośnie zgłaszania naruszeń danych, oceny skutków dla ochrony danych poprzez podjęcie określonych działań:

1. zapewnienie odpowiedniego poziomu ochrony przez zastosowanie środków technicznych
   oraz organizacyjnych z uwzględnieniem okoliczności oraz celów przetwarzania, a także projektowanego prawdopodobieństwa oraz skali ewentualnego naruszenia;

2. powiadomienie Administratora o każdym podejrzeniu naruszenia ochrony Danych osobowych nie później niż w 24 godziny od pierwszego zgłoszenia, umożliwienie Administratorowi uczestnictwa w czynnościach wyjaśniających i poinformowanie go o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia;

3. przesłanie powiadomienia o stwierdzeniu naruszenia wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, umożliwiając tym samym Administratorowi spełnienie obowiązku powiadomienia organu nadzoru.

4. wsparcie Powierzającego w odniesieniu do obowiązków związanych z informowaniem zainteresowanego Podmiotu Danych (osoby, której dotyczą dane) oraz dostarczanie Powierzającemu wszystkich posiadanych informacji na ten temat;

5. wspieranie Powierzającego w zakresie oceny skutków dla ochrony jego danych.

2. Powiadomienie o naruszeniu zasad przetwarzania danych może nastąpić drogą elektroniczną
   lub za pomocą środków porozumiewania się na odległość.

9. Prawo Powierzającego do wydawania poleceń

1. Polecenia wydane ustnie zostaną natychmiast potwierdzone przez Powierzającego minimum
   w formie wiadomości przesłanej pocztą elektroniczną.

2. Przetwarzający niezwłocznie będzie informował Powierzającego w przypadku stwierdzenia,
   że dane polecenie narusza przepisy prawa w zakresie ochrony danych. W takim wypadku Przetwarzający ma prawo zawiesić wykonanie odnośnych poleceń do czasu ich potwierdzenia albo zmiany przez Powierzającego.

10. Kasowanie oraz zwrot danych osobowych

1. Przetwarzający nie będzie tworzył kopii Danych Osobowych bez wiedzy Powierzającego za wyjątkiem kopii zapasowych w zakresie koniecznym do zapewnienia właściwego przetwarzania danych.

2. Po wygaśnięciu Umowy Przetwarzający przekaże Powierzającemu albo – za uprzednią zgodą Powierzającego – zniszczy wszystkie dokumenty, wyniki przetwarzania oraz wykorzystania oraz zbiory danych związane z Umową, które znalazły się w jego posiadaniu, w sposób zgodny z ochroną danych. Protokół zniszczenia lub usunięcia należy dostarczyć na żądanie Powierzającego.

11. Odpowiedzialność

1. Przetwarzający odpowiada za szkody spowodowane swoim działaniem w związku z niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na Przetwarzającego lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom. Przetwarzający odpowiada za szkody spowodowane zastosowaniem lub niezastosowaniem właściwych środków bezpieczeństwa.

2. Jeżeli Podprzetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora i osób trzecich za wypełnienie obowiązków przez Podprzetwarzającego spoczywa na Przetwarzającym.

12. Postanowienia końcowe

1. Zmiany Umowy muszą być dokonywane piśmie pod rygorem nieważności.

2. Jeżeli poszczególne postanowienia Umowy staną się nieskuteczne albo niewykonalne po jej podpisaniu, nie będzie to miało wpływu na ważność pozostałych postanowień Umowy.

3. Postanowienie nieskuteczne albo niewykonalne należy zastąpić postanowieniem skutecznym oraz wykonalnym, najbardziej zbliżonym do celu ekonomicznego, do którego dążyły strony Umowy
   w ramach postanowienia nieważnego lub niewykonalnego.

4. Umowa wchodzi w życie z dniem zawarcia i zastępuje wszystkie istniejące porozumienia Stron
   w zakresie powierzenia i zasad przetwarzania Danych Osobowych.

5. Niniejsza umowa podlega prawu polskiemu.

6. Sądem właściwym dla rozpatrzenia sporów wynikających z Umowy będzie sąd właściwy Powierzającego.

7. Wynagrodzenie określone w Umowie podstawowej obejmuje także wynagrodzenie za wykonywanie niniejszej Umowy. Przetwarzający oświadcza, że wynagrodzenie wskazane w zdaniu poprzednim wyczerpuje jego roszczenia wobec Administratora wynikające z niniejszej Umowy.

8. Umowa została sporządzona w trzech jednobrzmiących egzemplarzach: dwa egzemplarze dla Powierzającego, jeden egzemplarz dla Przetwarzającego.

_________________________________ _________________________________

Miejscowość, Data Miejscowość, Data

_________________________________ _________________________________ (Podpis / pieczątka Powierzającego) (Podpis / pieczątka Przetwarzającego)

Strona 8 / 8