Porozumienie w zakresie przetwarzania danych osobowych (zwane dalej „Porozumieniem”)
Załącznik nr 6
Porozumienie
w
zakresie przetwarzania danych osobowych
(zwane dalej „Porozumieniem”)
z dnia _________________________
zawarte pomiędzy:
LUX MED Onkologia sp. z o.o. z siedzibą w Warszawie (01-748) ul. Szamocka 6, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla x.xx. Warszawy w Warszawie, XIII Wydział Gospodarczy pod numerem KRS: 0000536684, posiadającą nr NIP: 1132883801, REGON: 360493191, o kapitale zakładowym w wysokości 38 301 100,00 zł, reprezentowaną przez:
____________________– ___________________
zwaną dalej „Administratorem” lub „LUX MED Onkologia”,
a
.............................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................. reprezentowaną przez:
___________________________________
zwaną dalej „Podmiotem przetwarzającym”,
zwanymi łącznie „Stronami” zaś każda z osobna „Stroną”.
PREAMBUŁA
Mając na uwadze iż:
Strony łączy umowa nr ……………… z dnia ……………….,
podczas wykonywania przez Podmiot przetwarzający usług objętych zakresem Umowy, dochodzi do przetwarzania danych osobowych,
od dnia 25 maja 2018 r. Strony zobowiązane są do stosowania przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanego dalej „Rozporządzeniem”),
Strony postanawiają zawrzeć Porozumienie o następującej treści:
§ 1
Przedmiot i polecenie przetwarzania
Administrator poleca a Podmiot przetwarzający przyjmuje do przetwarzania dane osobowe w celu i zakresie oraz na warunkach określonych niniejszym Porozumieniem oraz w Umowie.
W celu uniknięcia wątpliwości, z tytułu realizacji obowiązków wynikających z niniejszego Porozumienia Podmiotowi przetwarzającemu nie przysługuje dodatkowe wynagrodzenie, ponad to wynikające z Umowy.
Podmiot przetwarzający nie decyduje o środkach i celach przetwarzania danych.
Przetwarzanie danych osobowych przez Podmiot przetwarzający polegać będzie na dostępie do tych danych oraz wykonywaniu innych, niezbędnych operacji na danych, zgodnie z przekazywanymi przez Administratora instrukcjami, w ramach zdalnego dostępu do oprogramowania będącego przedmiotem Umowy.
Powierzone do przetwarzania dane osobowe obejmować będą kategorie w zakresie wynikającym z Umowy określone w załączniku nr 1 do niniejszego Porozumienia.
Załącznik nr 1 określa kategorie osób, których dane dotyczą oraz rodzaj danych osobowych, które zostają powierzone Podmiotowi przetwarzającemu w ramach niniejszego Porozumienia. Zakres powierzenia wskazany w Załączniku nr 1 może zostać w każdym momencie zmieniony, rozszerzony lub ograniczony przez Administratora, co nastąpi poprzez przesłanie Podmiotowi przetwarzającemu drogą elektroniczną nowej wersji Załącznika nr 1. W przypadku, gdy Podmiot przetwarzający nie zgłosi zastrzeżeń do nowej wersji Załącznika nr 1 w terminie 14 dni od dnia jego wysłania, uważa się za akceptacje.
Jeżeli należyta realizacja obowiązków Podmiotu przetwarzającego wynikających z realizacji niniejszego Porozumienia oraz Umowy będzie tego wymagała, Podmiot przetwarzający może dokonać dalszego powierzenia przetwarzania danych. Uprawnienie do dalszego powierzenia przetwarzania danych osobowych przez Podmiot przetwarzający nie obejmuje przekazywania danych osobowych do państwa trzeciego
w rozumieniu Rozporządzenia. W takim przypadku wymagana jest uprzednia zgoda Administratora wyrażona w formie pisemnej lub elektronicznej.Warunkiem dalszego powierzenia danych osobowych przez Podmiot przetwarzający jest uprzednie powiadomienie Administratora o tym fakcie, z jednoczesnym oświadczeniem Podmiotu przetwarzającego, iż podmiot któremu zostaną powierzone dane osobowe spełnia wymogi, o których mowa w art. 28 Rozporządzenia i zostanie to zagwarantowane w umowie dalszego powierzenia przetwarzania danych. Uprawnienia podmiotu, któremu Podmiot przetwarzający dalej powierzy przetwarzanie danych osobowych nie mogą być szersze, aniżeli uprawnienia Podmiotu przetwarzającego, wynikające z niniejszego Porozumienia.
Lista podmiotów, którym Podmiot przetwarzający powierza przetwarzanie danych osobowych na dzień zawarcia niniejszego Porozumienia stanowi Załącznik nr 2 do niniejszego Porozumienia.
Uprawnienie, o którym mowa w § 1 ust. 8 powyżej nie wyłącza możliwości wyrażenia przez Administratora sprzeciwu wobec dalszego powierzenia, który Administrator może wyrazić w terminie 5 dni roboczych od poinformowania go o zamiarze powierzenia. Brak reakcji Administratora w terminie, o którym mowa w zdaniu poprzednim jest równoznaczny z brakiem sprzeciwu.
§ 2
Czas trwania
Podmiot przetwarzający uprawniony jest do przetwarzania powierzonych danych do dnia wygaśnięcia lub rozwiązania Umowy.
W terminie 14 dni od wygaśnięcia lub rozwiązania Umowy, Podmiot przetwarzający zobowiązany jest usunąć wszelkie powierzone dane osobowe, chyba że obowiązek ich dalszego przetwarzania przez Podmiot przetwarzający wynika z odrębnych przepisów prawa.
§ 3
Obowiązki Stron
Dostęp do powierzonych Podmiotowi przetwarzającemu danych osobowych mogą mieć jedynie pracownicy lub współpracownicy Podmiotu przetwarzającego, którzy otrzymali jego upoważnienie do przetwarzania tych danych, poprzedzone złożeniem przez te osoby oświadczenia o zachowaniu tych danych oraz sposobów ich zabezpieczenia w tajemnicy.
Podmiot przetwarzający zobowiązany jest zapewnić bezpieczeństwo przetwarzania powierzonych danych osobowych poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych, adekwatnych do rodzaju powierzonych danych oraz ryzyka naruszenia praw osób, których te dane dotyczą. Podmiot przetwarzający oświadcza, że znane mu są oraz od dnia 25 maja 2018 r. stosuje przepisy Rozporządzenia.
Podmiot przetwarzający zobowiązany jest współpracować z Administratorem w zakresie udzielania odpowiedzi na żądania osoby, której dane dotyczą, opisane w rozdziale III Rozporządzenia (w szczególności informowanie i przejrzysta komunikacja, dostęp do danych, obowiązek informacyjny, prawo dostępu, prawo do sprostowania danych, usunięcia danych, ograniczenia przetwarzania, przenoszenia danych, prawo sprzeciwu). W tym celu Podmiot przetwarzający zobowiązany jest poinformować Administratora o każdym żądaniu Osoby Uprawnionej w ramach wykonywania przez tę osobę praw wynikających Rozporządzenia oraz udzielania Administratorowi wszelkich niezbędnych informacji w tym zakresie.
Mając na uwadze charakter przetwarzania powierzonych danych oraz dostępnych Podmiotowi przetwarzającemu informacji, zobowiązany jest on wspierać Administratora w wywiązywaniu się przez Administratora z obowiązków w zakresie bezpieczeństwa danych, zarządzania naruszeniami ochrony danych osobowych oraz ich zgłaszaniem do organu nadzoru oraz osoby, której dane dotyczą, oceny skutków dla ochrony danych oraz konsultacjami z organem nadzoru (Art. 32-36 Rozporządzenia).
Podmiot przetwarzający zobowiązany jest niezwłocznie, jednakże nie później niż w terminie 24 h po stwierdzeniu naruszenia ochrony danych osobowych lub wystąpieniu podejrzenia naruszenia ochrony danych osobowych, poinformować Administratora w formie elektronicznej na adres e-mail: xxxxxxxxxxx@xxxxxx.xx. Informacja przekazana Administratorowi powinna zawierać co najmniej:
opis charakteru naruszenia oraz - o ile to możliwe - wskazanie kategorii i przybliżonej liczby osób, których dane zostały naruszone i ilości/rodzaju danych, których naruszenie dotyczy,
imię, nazwisko i dane kontaktowe inspektora ochrony danych lub innej jednostki/osoby, z którą Administratora może kontaktować się w związku z wystąpieniem xxxxxxxxxx,
opis możliwych konsekwencji naruszenia,
opis zastosowanych lub proponowanych do zastosowania przez Podmiot przetwarzający środków w celu zaradzenia naruszeniu, w tym minimalizacji jego negatywnych skutków.
Zgłoszenie, o którym mowa w ust. 5 powyżej powinno być przesłane w sposób zapewniający bezpieczeństwo przekazywanych informacji, tj. w formie zaszyfrowanej.
Zmiana adresu e-mail, o którym mowa w ust. 5 powyżej lub zmiana sposobu zgłaszania incydentów Administratorowi może być dokonana w formie elektronicznej lub listownej i nie stanowi zmiany niniejszego Porozumienia.
Adres e-mail, o którym mowa w § 3 ust. 5 powyżej jest także adresem kontaktowym Administratora, pod którym Podmiot przetwarzający może kierować wszelkie informacje oraz zgłaszać wszelkie kwestie związane z przetwarzaniem danych osobowych powierzonych na mocy niniejszego Porozumienia.
Podmiot przetwarzający zobowiązuje się na bieżąco śledzić zmiany regulacji ochrony danych osobowych
i dostosowywać sposób przetwarzania danych, w szczególności procedury wewnętrzne i sposoby zabezpieczenia danych osobowych do aktualnych wymagań prawnych.
§ 4
Prawo kontroli
Podmiot przetwarzający zobowiązany jest udzielać Administratorowi wszelkich informacji niezbędnych dla wykazania przez Administratora wywiązywania się ze wszystkich obowiązków określonych w niniejszym Porozumieniu oraz przepisach prawa, w szczególności Rozporządzenia.
Administrator jest uprawniony do przeprowadzania audytów zgodności przetwarzania przez Podmiot przetwarzający powierzonych danych osobowych z przepisami Rozporządzenia, ustaw oraz niniejszego Porozumienia, polegających w szczególności na żądaniu udzielenia pisemnej informacji lub wyjaśnień oraz – w uzasadnionych przypadkach - inspekcjach miejsc przetwarzania danych osobowych przez Podmiot przetwarzający. Podmiot przetwarzający ma prawo do odmowy udzielenia pisemnej informacji lub wyjaśnień oraz udzielenia dostępu do miejsc przetwarzania danych osobowych w zakresie, w którym audyt mógłby zagrażać ujawnieniu innych danych osobowych, aniżeli przetwarzanych przez Podmiot przetwarzający na mocy niniejszego Porozumienia. W takim przypadku Podmiot przetwarzający zobowiązany jest w sposób jasny i wyczerpujący, w formie pisemnej uzasadnić swoje stanowisko.
Informacja o planowanej inspekcji zostanie przekazana Podmiotowi przetwarzającemu z co najmniej
7-dniowym wyprzedzeniem, z jednoczesnym wskazaniem zakresu inspekcji oraz osób upoważnionych przez Administratora do przeprowadzenia inspekcji. Powyższe nie wyklucza zlecenia wykonania inspekcji przez podmiot zewnętrzny upoważniony przez Administratora, jednakże każda z osób działająca w imieniu podmiotu zewnętrznego może dokonywać inspekcji wyłącznie po uprzednim przedstawieniu Podmiotowi przetwarzającemu upoważnienia imiennego do dokonania inspekcji oraz wyłącznie w zakresie wskazanym w tym upoważnieniu. W przypadku, gdyby przedstawiony przez Administratora zakres inspekcji bądź narzędzia do wykonania czynności podczas inspekcji stanowiłoby naruszenie przepisów prawa ochrony danych przez Podmiot przetwarzający, jest on uprawniony do sprzeciwienia się przeprowadzeniu przez Administratora inspekcji jednocześnie zobowiązany do niezwłocznego powiadomienia o tym fakcie Administratora w formie elektronicznej lub pisemnej.Prawo kontroli, o którym mowa w § 4 ust. 1-3 będzie realizowane przez Administratora nie częściej niż raz do roku, z takim zastrzeżeniem, że w przypadku wystąpienia okoliczności poddających pod uzasadnioną wątpliwość zgodność przetwarzania powierzonych Procesorowi danych z przepisami prawa oraz postanowieniami niniejszego Porozumienia lub w przypadku wystąpienia incydentu bezpieczeństwa danych osobowych, Administrator ma prawo do wszczęcia dodatkowej kontroli, nieobjętej limitem ilości, o której mowa w zdaniu pierwszym.
Administratorowi przysługuje prawo wydawania Podmiotowi przetwarzającemu rekomendacji co do sposobu przetwarzania powierzonych danych oraz stosowanych przez Podmiot przetwarzający środków technicznych i organizacyjnych zabezpieczających powierzone dane osobowe. Rekomendacje Administratora nie są wiążące dla Podmiotu przetwarzającego, jednakże wydana rekomendacja zobowiązuje Podmiot przetwarzający do weryfikacji możliwości jej wdrożenia w wewnętrzne procedury przetwarzania danych osobowych. Rekomendacje wydane przez Administratora nie mogą zakładać naruszenia przepisów prawa przez Podmiot przetwarzający w przypadku ich wdrożenia.
Podmiot przetwarzający zobowiązany jest niezwłocznie powiadamiać Administratora o wszelkich skargach, pismach, kontrolach organu nadzoru, postępowaniach sądowych i administracyjnych pozostających w związku z powierzonymi danymi osobowymi oraz współdziałać z Administratorem w tym zakresie, w szczególności poprzez udostępnianie Administratorowi wszelkiej dokumentacji z tym związanej.
§ 5
Odpowiedzialność
Podmiot przetwarzający odpowiada za działania i zaniechania osób, przy pomocy których będzie przetwarzał powierzone dane osobowe, jak za działania lub zaniechania własne.
W przypadku, gdy w związku z niezgodnym z przepisami Rozporządzanie przetwarzaniem danych osobowych powierzonych Podmiotowi przetwarzającemu, z przyczyn leżących po stronie Podmiotu przetwarzającego (wina), Administrator poniesie jakiekolwiek koszty, w szczególności związane z wypłatą zadośćuczynienia lub koszty obsługi prawne Podmiot przetwarzający zobowiązany będzie pokrycia tych kosztów w pełnej wysokości a w przypadku wytoczonego postępowania sądowego - do udzielenia Administratorowi wszelkiego wsparcia w takim postępowaniu, a także do przejęcia odpowiedzialności w przypadku przyznania osobie, której dane dotyczą odszkodowania w takim postępowaniu, w wysokości odpowiadającej równowartości przyznanego odszkodowania lub kosztów zadośćuczynienia oraz wszelkich kosztów niezbędnych do obrony przed zgłaszanymi roszczeniami a poniesionych przez Administratora w takim postępowaniu.
§ 6
Postanowienia końcowe
Niniejsze Porozumienie stanowi umowę powierzenia przetwarzania danych osobowych, o której mowa w art. 28 ust. 3 RODO.
W zakresie nieuregulowanym niniejszym Porozumieniem mają zastosowanie przepisy prawa obowiązującego na terenie Rzeczypospolitej Polskiej, w tym Rozporządzenia.
Wszelkie załączniki do niniejszego Porozumienia stanowią jego integralną część.
Z zastrzeżeniem § 1 ust. 6 oraz § 3 ust. 7, wszelkie zmiany niniejszego Porozumienia wymagają zachowania formy pisemnej pod rygorem nieważności.
Niniejsze Porozumienie sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej
ze Stron.
Załączniki:
Zakres powierzanych Podmiotowi przetwarzającemu danych osobowych;
Lista podmiotów którym Podmiot przetwarzający może powierzyć przetwarzanie danych osobowych;
____________________________ ____________________________
Administrator Podmiot przetwarzający
(czytelny podpis/pieczęć imienna) (czytelny podpis/pieczęć imienna)
Załącznik nr 1
Przedmiot przetwarzania – zakres Danych osobowych
1. Kategorie osób, których dane dotyczą:
Pacjenci
Personel
2. Rodzaj Danych osobowych:
Dane zwykłe |
Szczególne kategorie danych osobowych |
Dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa |
Imię i nazwisko, numer PESEL, nr telefonu, adres e-mail, adres zamieszkania |
Xxxx osobowe dotyczące stanu zdrowia |
Nie dotyczy |
Załącznik nr 2
Lista podprocesorów:
Lp. |
Nazwa podmiotu |
Siedziba i adres podmiotu |
1. |
|
|
2. |
|
|
3. |
|
|
4. |
|
|
5. |
|
|
6. |
|
|