UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Załącznik 6 do Polityki Ochrony Danych Osobowych
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w dniu ………………..2018 roku w Poznaniu, pomiędzy:
Szpital Kliniczny im. Xxxxxx Xxxxxxxxx
Uniwersytetu Medycznego im. Xxxxxx Xxxxxxxxxxxxxxx w Poznaniu, xx. Xxxxxxxxx 00/00, 00-000 Xxxxxx,
reprezentowanym przez: Dyrektora Szpitala –
zwanym w dalszej treści umowy Zamawiającym/Udzielającym zamówienia (Administratorem)
a
…………………………………………………………………………………………………
…………………………………………………………………………………………………. zwaną w dalszej treści: Wykonawcą / Przyjmującym zamówienie (Przetwarzającym)
Na podstawie art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119), Strony zawierają umowę o następującej treści
§1
Definicje
Dla potrzeb niniejszej umowy, Administrator i Przetwarzający ustalają następujące znaczenie niżej wymienionych pojęć:
1. Umowa Powierzenia – niniejsza umowa;
2. RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1).
3. Przetwarzanie danych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt. 2 RODO)
§ 2
Powierzenie przetwarzania danych osobowych
1. Administrator danych powierza Przetwarzającemu, w trybie art. 28 RODO dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej Umowie.
2. Przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą umową, RODO oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
3. Przetwarzający oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi RODO
§3
Zakres i cel przetwarzania danych
1. Podmiot przetwarzający będzie przetwarzał, powierzone na podstawie umowy głównej następujące dane osobowe:
1) zwykłe dotyczące: ……………………….(imiona i nazwiska, numer identyfikacyjny: pesel/nip, dane o lokalizacji: np. adresu zamieszkania, identyfikator internetowy np. e – mai i inne np. data urodzenie, …).
2) szczególne kategorie danych określonych w art. 9 ust. 1 RODO m. in.:
a) dane genetyczne (art. 4 pkt 13 RODO)
b) dane biometryczne (art. 4 pkt 14 RODO)
c) dane dotyczące zdrowia (art. 4 pkt. 15)
2. Administrator oświadcza, że upoważnia Przetwarzającego do przetwarzania danych w zakresie o którym mowa w ust 1
3. Powierzone przez Administratora dane osobowe będą przetwarzane przez Przetwarzającego wyłącznie w celu realizacji umowy głównej.
§4
Obowiązki podmiotu przetwarzającego
1. Przetwarzający zobowiązuje się do przetwarzania danych osobowych zgodnie z przepisami prawa i niniejszą umową.
2. Dane osobowe o których mowa w § 3 ust 1 będą przez Przetwarzającego przetwarzane w formie elektronicznej oraz/lub/ w formie papierowej.
§5
Zasady powierzenia danych
Przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków, o których mowa w art. 32 RODO, a w szczególności:
a) uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, obowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Przetwarzający powinien odpowiednio udokumentować zastosowanie tych środków, a także uaktualniać te środki w porozumieniu z administratorem,
b) zapewnić, by każda osoba fizyczna działająca z upoważnienia Przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora w celach i zakresie przewidzianym w Umowie Powierzenia,
c) prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora, o którym mowa w art. 30 ust. 2 RODO i udostępniać go Administratorowi na jego żądanie, chyba że Przetwarzający jest zwolniony z tego obowiązku na podstawie art. 30 ust. 5 RODO.
d) Przetwarzający zapewnia, aby osoby mające dostęp do przetwarzanych danych osobowych zachowały je oraz sposoby zabezpieczeń w tajemnicy, przy czym obowiązek zachowania tajemnicy istnieje również po realizacji Umowy Powierzenia oraz ustaniu zatrudnienia u Przetwarzającego.
§6
Obowiązki Przetwarzającego
1. Przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
2. Przetwarzający oświadcza że udzieli upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy
3. Przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, (o której mowa w art. 28 ust 3 pkt b Rozporządzenia) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej umowy, zarówno w trakcie zatrudnienia ich, jak i po jego ustaniu.
4. Przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem usuwa wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego w tym szczególnie przepisy dotyczące przechowywania dokumentacji medycznej nakazują przechowywanie danych osobowych.
5. W miarę możliwości Przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 RODO.
6. W sytuacji podejrzenia naruszenia ochrony danych osobowych, Przetwarzający zobowiązuje się do:
a) przekazania Administratorowi informacji w formie pisemnej lub elektronicznej (na adres: XXXX@xxx.xxx.xxx.xx) dotyczących naruszenia ochrony danych osobowych w ciągu 24 godzin od jego wykrycia, w tym informacji, o których mowa w art. 33 ust. 3 RODO,
b) przeprowadzenia wstępnej analizy ryzyka naruszenia praw i wolności osób, których dane dotyczą, i przekazania wyników tej analizy do Administratora w ciągu 36 godzin od wykrycia zdarzenia stanowiącego naruszenie ochrony danych osobowych,
c) przekazania Administratorowi – na jego żądanie – wszystkich informacji niezbędnych do zawiadomienia osoby, której dane dotyczą, zgodnie z art. 34 ust. 2 RODO, w ciągu
48 godzin od wykrycia zdarzenia stanowiącego naruszenie ochrony danych osobowych.
7. Przetwarzający zobowiązuje się pomagać Administratorowi poprzez odpowiednie środki techniczne i organizacyjne, w wywiązywaniu się z obowiązku odpowiadania na żądania osób,
których dane dotyczą, w zakresie wykonywania ich praw określonych w art. 15-22 RODO. W szczególności Przetwarzający zobowiązuje się – na żądanie Administratora – do przygotowania i przekazania Administratorowi informacji potrzebnych do spełnienia żądania osoby, której dane dotyczą, w ciągu 3 dni od dnia otrzymania żądania Administratora.
8. Przetwarzający zobowiązuje się stosować się do ewentualnych wskazówek lub zaleceń, wydanych przez organ nadzoru lub unijny organ doradczy zajmujący się ochroną danych osobowych, dotyczących przetwarzania danych osobowych, w szczególności w zakresie stosowania RODO.
9. Przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania powierzonych danych osobowych przez Przetwarzającego, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania powierzonych danych osobowych, skierowanej do Przetwarzającego, a także o wszelkich kontrolach i inspekcjach dotyczących przetwarzania powierzonych danych osobowych przez Przetwarzającego, w szczególności prowadzonych przez organ nadzorczy.
§7
Dalsze powierzenie danych do przetwarzania
1. Przetwarzający może powierzyć dane osobowe objęte niniejszą umową do dalszego przetwarzania podwykonawcom wyłącznie w celu wykonania umowy głównej
2. W przypadku gdy przetwarzający zamierza podpowierzyć przetwarzanie danych osobowych swoim podwykonawcom, musi uprzednio poinformować Administratora o zamiarze podpowierzenia oraz o tożsamości (nazwie) podmiotu, któremu ma zamiar podpowierzyć przetwarzanie danych, a także o charakterze podpowierzenia, zakresie danych, celu i czasie trwania podpowierzenia. O ile Administrator nie wyrazi sprzeciwu wobec podpowierzenia w terminie 7 dni od daty zawiadomienia, Przetwarzający uprawniony będzie do dokonania podpowierzenia.
3. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora chyba, że obowiązek taki nakłada na Przetwarzającego prawo Unii lub prawo państwa członkowskiego, któremu podlega Przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania, Przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
4. Podwykonawca, winien spełniać te same gwarancje i obowiązki jakie zostały nałożone na Przetwarzającego w niniejszej Umowie.
5. Przetwarzający ponosi pełną odpowiedzialność w tym również odszkodowawczą wobec Administratora i osób trzecich za nie wywiązanie się ze spoczywających na podwykonawcy obowiązków ochrony danych.
6. Przetwarzający może przekazywać powierzone mu do przetwarzania dane osobowe do podmiotów znajdujących się w państwach spoza Europejskiego Obszaru Gospodarczego wyłącznie na warunkach określonych w RODO – Rozdział V (art. 44 – 50)
§8
Kontrola
1. Administrator zgodnie z art. 28 ust. 3 pkt h) RODO ma prawo kontroli, czy środki zastosowane przez Przetwarzającego przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy.
2. Administrator realizować będzie prawo kontroli w godzinach pracy Przetwarzającego i z minimum po uprzednim poinformowaniu Wykonawcy z wyprzedzeniem nie krótszym niż 5 dni roboczych drogą elektroniczną lub faxem.
3. Przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora.
4. Przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia.
5. Przetwarzający zobowiązuje się niezwłocznie informować Administratora, jeżeli zdaniem Przetwarzającego wydane jemu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych.
§ 9
Odpowiedzialność Podmiotu przetwarzającego
Przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
§10
Czas obowiązywania umowy
1. Niniejsza umowa obowiązuje przez okres obowiązywania umowy głównej.
2. Rozwiązanie umowy głównej skutkuje jednoczesnym rozwiązaniem niniejszej umowy
§11
Rozwiązanie umowy
1. Administrator może rozwiązać niniejszą umowę ze skutkiem natychmiastowym gdy Przetwarzający:
a) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie;
b) przetwarza dane osobowe w sposób niezgodny z umową;
c) powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora
2. Rozwiązanie niniejszej umowy w przypadkach o których mowa w ust 1 lit.: a-c skutkuję jednoczesnym rozwiązaniem umowy głównej
§12
Postanowienia końcowe
1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach dla każdej ze stron.
2. W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego oraz RODO.
3. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej umowy będzie sąd właściwy dla Administratora.