Załącznik nr 6 Porozumienie
Załącznik nr 6
Porozumienie
o powierzeniu przetwarzania danych osobowych (dalej: Porozumienie)
zawarte dnia pomiędzy:
Powiatowym Zespołem Szpitali w Oleśnicy ul. Xxxxx Xxxxxxxx 0, 00-000 Xxxxxxxx,
wpisanym do Rejestru Podmiotów Wykonujących Działalność Leczniczą Wojewody Dolnośląskiego pod numerem 000000002093 oraz rejestru samodzielnych publicznych zakładów opieki zdrowotnej KRS prowadzonej przez Sąd Rejonowy dla Wrocławia- Fabrycznej we Wrocławiu, IX Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000186473, NIP: 9111847075; REGON: 932966540, reprezentowanym przez Dyrektora – Xxxxxxxxx Xxxxxxxxxxx
zwanym dalej „Administratorem”
a
(nazwa lub imię i nazwisko), z siedzibą/miejscem prowadzenia działalności/miejscem zamieszkania dla celów podatkowych w (adres siedziby/miejsca prowadzenia działalności/miejsca zamieszkania), NIP , wpisanym do (rodzaj lub nazwa rejestru) prowadzonego przez pod numerem – z którego wyciąg/odpis/wydruk z Centralnej Informacji KRS sporządzony na dzień stanowi załącznik Nr 1 do niniejszej Umowy:
reprezentowanym przez: zwanym w dalszej części Umowy „Podmiot przetwarzający”
§ 1
Powierzenie przetwarzania danych osobowych
1. W związku z zawarciem i realizacją Umowy z dnia …………….r. dotyczącej wykonywania świadczeń zdrowotnych w zakresie diagnostyki laboratoryjnej zawartej przez Strony (dalej: Umowa), Administrator powierza Podmiotowi przetwarzającemu:
1) dane osobowe Pacjentów na rzecz których wykonywana są świadczenia na podstawie Umowy, (dalej: Dane Osobowe Pacjentów) w zakresie takich danych, jak: Podmiot przetwarzający będzie przetwarzał powierzone na podstawie Umowy dane:
1.1. Kategoria osób: pacjenci, opiekunowie faktyczni i prawni;
1.2. Dane zwykłe: imię i nazwisko, XXXXX, adres zamieszkania, dane kontaktowe
1.3. Dane szczególnych kategorii: dane o stanie zdrowia.
2. Dane osobowe powierzone przez Administratora będą przetwarzane przez Podmiot przetwarzający
wyłącznie w celu realizacji Umowy głównej.
3. Podmiot przetwarzający jest upoważniony do wykonywania następujących czynność: przetwarzania powierzonych danych w systemach informatycznych Administratora oraz wersji papierowej: przeglądanie, pobieranie, utrwalanie, organizowanie, porządkowanie, ujawnianie poprzez przesłanie, usuwanie, modyfikowanie – które są w minimalnym zakresie niezbędne do realizacji celu, o którym mowa w ust. 2 powyżej.
4.Zakres danych osobowych wymienionych w ust. 1 jest maksymalnym katalogiem danych, które mogą być przetwarzane w związku z realizacją Umowy. W rzeczywistości dane mogą być przekazywane przez
Administratora w mniejszym zakresie bez uszczerbku dla postanowień Porozumienia. Zakres danych może ulec zmianie w przypadku zmiany aktualnie obowiązujących przepisów prawa.
5. Podmiot przetwarzający zobowiązuje się przetwarzać Dane Osobowe Pacjentów zgodnie z poleceniem Administratora, przestrzegając:
− postanowień Porozumienia,
− obowiązujących przepisów regulujących kwestię ochrony danych osobowych; w szczególności Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: Rozporządzenie).
§ 2
Zakres i cel przetwarzania danych
Administrator upoważnia personel Podmiotu przetwarzającego do przetwarzania w jego imieniu Danych Osobowych Pacjentów w celu i zakresie niezbędnym do realizacji postanowień Umowy, w szczególności w zakresie dostępu, przechowywania i opracowywania danych dla celów związanych z wykonywaniem świadczeń.
§ 3
Obowiązki Podmiotu Przetwarzającego
1. Podmiot przetwarzający zobowiązuje się:
a) stosować środki techniczne i organizacyjne zapewniające ochronę powierzonych danych, a w szczególności zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, utratą, uszkodzeniem lub zniszczeniem. W celu wykonania obowiązku, o którym mowa w zdaniu poprzedzającym, Podmiot przetwarzający posiada wdrożoną Politykę Bezpieczeństwa Informacji wraz z Instrukcją Zarządzania Systemem Informatycznym. Przy przetwarzaniu powierzonych danych osobowych na podstawie Porozumienia, zabezpieczy je poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia,
b) nadać upoważnienia do przetwarzania danych osobowych wskazanych w § 1 ust. 1 Porozumienia wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji Umowy i Porozumienia,
c) prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych,
d) zapewnić zachowanie w tajemnicy przetwarzanych danych oraz sposobów ich zabezpieczenia przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji Umowy lub Porozumienia, zarówno w trakcie zatrudnienia lub współpracy z ,
jak i po ustaniu zatrudnienia lub współpracy.
2. Podmiot przetwarzający pomaga Administratorowi:
a) w miarę swoich możliwości, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia (Prawa osoby, której dane dotyczą).
b) w wywiązywaniu się z obowiązków określonych w art. 32-36 Rozporządzenia, w szczególności w przypadku stwierdzenia naruszenia zasad ochrony i przetwarzania powierzonych danych osobowych na podstawie Porozumienia, zgłasza je Administratorowi za pośrednictwem osób wskazanych w § 10 ust. 1 Porozumienia. Podmiot przetwarzający po zakończeniu trwania
umowy jest zobowiązany do usunięcia lub zwrotu Administratorowi powierzonych danych osobowych, o ile przepis prawa powszechnie obowiązującego nie stanowi inaczej.
§ 4
Prawo do kontroli
1. Administrator ma prawo kontroli, czy środki zastosowane przez personel zatrudniony przez Podmiot przetwarzający przy przetwarzaniu danych spełniają postanowienia Porozumienia i Rozporządzenia.
2. Podmiot przetwarzający na każdy pisemny wniosek Administratora zobowiązany jest do udzielenia pisemnej informacji dotyczących przetwarzania powierzonych mu danych osobowych w terminie 14 dni od dnia otrzymania takiego wniosku.
3. Administrator ma prawo do faktycznej weryfikacji sposobu przetwarzania danych osobowych wskazanych w § 1 ust. 1 Porozumienia, w sposób każdorazowo ustalony przez Strony, po zgłoszeniu zamiaru takiej weryfikacji przez Administratora z wyprzedzeniem minimum 14 dni.
4. Podmiot przetwarzający udostępni Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązku określonego w art. 28 Rozporządzenia.
5. Po stwierdzeniu przez Administratora naruszeń niniejszego Porozumienia, Podmiot przetwarzający jest zobowiązany do ich usunięcia w terminie i sposób ustalony pomiędzy Stronami.
§5
Podpowierzenie
1. Administrator upoważnia Podmiot przetwarzający do dalszego powierzania wskazanych w § 1 ust. 1 Porozumienia danych osobowych w celu niezbędnym do wykonania Umowy lub postanowień Porozumienia, podmiotom będącym podwykonawcami Podmiotu przetwarzającego.
2. Na każdorazowe życzenie Administratora Podmiot przetwarzający w ciągu 14 dni od otrzymania takiego zapytania, przekaże Administratorowi listę podwykonawców, którym dane osobowe mogą być przez Podmiot przetwarzający powierzone do przetwarzania.
3. Podmiot przetwarzający jest zobowiązany do zapewnienia, że podmioty wskazane w ust. 1 spełniają takie same wymagania i obowiązki ochrony danych osobowych, jak Podmiot przetwarzający , w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków organizacyjnych i technicznych, aby przetwarzanie odpowiadało wymogom aktualnie obowiązujących przepisów prawa w zakresie ochrony danych osobowych.
4. Podmiot przetwarzający ponosi odpowiedzialność wobec Administratora za naruszenie
postanowień niniejszego Porozumienia przez podmioty wskazane w ust. 1.
§ 6
Wykonanie Porozumienia – regulacje szczegółowe
Strony ustalają, że w celu wykonania Porozumienia, Administrator udostępnia Podmiotowi przetwarzającemu, z którymi zawarła umowy dostęp do programu:
1. W którym rejestrowani są pacjenci Administratora wraz z opisem materiałów do badań od nich pobranych. Administrator zobowiązuje się, że wyznaczy osoby upoważnione do obsługi powyższego programu.
2. W którym „publikowane” są wyniki dla pacjentów danego Administratora. Administrator zobowiązuje się, że wyznaczy osoby upoważnione do odbierania wyników badań w formie elektronicznej.
3. Administrator zobowiązuje się niezwłocznie informować o wszelkich zmianach osób upoważnionych, o których mowa w ust. 1 oraz 2 , jednak nie później niż w terminie 3 dni od dnia, w którym zmiana nastąpiła. Administrator wyraża zgodę na przekazywanie mu informacji na temat zleconych badań, w szczególności w przypadku parametrów krytycznych zleconego badania, rozbieżności ze zleceniem lub innych problemów z ich wykonaniem, wszelkie raporty lub zestawienia do faktur, zawierające dane osobowe, a także wyników badań za pomocą systemów teleinformatycznych, takich jak telefon, faks lub adres e-mail.
§ 7
Odpowiedzialność
1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Porozumienia, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
2. Podmiot przetwarzający jest zobowiązany do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania powierzonych danych osobowych oraz o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczących powierzonych na podstawie Porozumienia danych osobowych oraz planowanych kontrolach w zakresie ochrony danych osobowych.
§ 8
Czas obowiązywania umowy
1. Porozumienie obowiązuje przez okres trwania Umowy głównej.
2. W każdym wypadku Porozumienie przestaje wiązać Strony z dniem, z którym przestają być związane postanowieniami Umowy.
§ 9
Poufność
1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”) .
2. Podmiot przetwarzający oświadcza, że z zastrzeżeniem § 5 Porozumienia, w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie Umowy lub Porozumienia, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Porozumienia.
3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności
wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały
zabezpieczenie danych poufnych, w tym w szczególności danych osobowych powierzonych do
przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
§ 10
Postanowienia końcowe
1. Strony postanawiają, że osobą odpowiedzialną za realizację postanowień
Porozumienia jest:
a. ze strony Administratora - ……………………………email: ……..
b. ze strony Podmiotu przetwarzającego………………….email:……………....
2. Każdorazowo przez pojęcie „dni” rozumie się dni kalendarzowe.
3. Porozumienie sporządzono w dwóch jednobrzmiących egzemplarzach.
4. Sądem właściwym dla rozpatrywania sporów jest sąd właściwy dla siedziby Administratora.
Administrator Podmiot przetwarzający