Umowa nr ………
Załącznik nr 4 do umowy
Umowa nr ………
z dnia ………………………
Wzór umowy o ochronie danych osobowych do umowy nr .... z dnia ....
zawarta pomiędzy Samodzielnym Publicznym Zakładem Opieki Zdrowotnej Szpitalem Specjalistycznym MSWiA w Otwocku, 00-000 Xxxxxx, xx. Xxxxxxxxx Xxxxx 0/0 zwanym w treści umowy Zamawiającym,
reprezentowanym przez:
……………………………. – ……………………………. a
firmą zwanym w dalszej treści umowy Wykonawcą,
reprezentowanym przez:
……………………………. – …………………………….
Niniejsza Umowa została zawarta w związku z realizacją Zamówienia pod nazwą „Budowa i wdrożenie - Elektroniczna platforma usług Otwarty Otwock” realizowanego na podstawie Umowy……………………….
§ 1.
Użyte w Umowie określenia oznaczają:
1. Ustawa - ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r. poz. 922, z późn. zm.);
2. Rozporządzenie - Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024);
3. Dane osobowe - na podstawie art. 6 Ustawy, są to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej w tym w szczególności wrażliwe dane osobowe pacjentów Samodzielnego Publicznego Zakładu Opieki Zdrowotnej Szpital Specjalistyczny MSWiA w Otwocku, które dotyczą danych osób zawartych w systemie, które muszą być przetwarzane przez Wykonawcę w celu wykonania Umowy nr
..................................... .
4. Administrator danych - organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 Ustawy, decydujący o celach i środkach przetwarzania Danych osobowych;
5. Przetwarzanie danych - jakiekolwiek operacje wykonywane na Danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie Danych osobowych, w zakresie objętym Umową nr ;
6. Dokument - dowolny nośnik, tradycyjny lub elektroniczny, na którym zapisane są Dane
osobowe;
7. Pracownik - osobę świadczącą pracę na podstawie stosunku pracy lub stosunku cywilnoprawnego.
§ 2.
1. Zamawiający oświadcza, że spełnia warunki legalności przetwarzania Danych osobowych przewidzianych w Ustawie i zgodnie z definicjami zawartymi w Ustawie jest Administratorem zbioru danych osobowych pacjentów, pracowników i zleceniobiorców Samodzielnego Publicznego Zakładu Opieki Zdrowotnej Szpital Specjalistyczny MSWiA w Otwocku.
2. Wykonawca oświadcza, iż znane mu są przepisy prawa regulujące przetwarzanie Danych osobowych i zobowiązuje się do ich przestrzegania w szczególności do zastosowania środków zabezpieczających zbiór danych osobowych o których mowa w art. 36 -39 Ustawy.
3. Wykonawca oświadcza, iż sposób prowadzenia i zakres dokumentacji o której mowa w art.
39 a Ustawy oraz środki techniczne i organizacyjne zastosowane w celu zapewnienia ochrony przetwarzania danych są zgodne z przepisami Rozporządzenia.
§ 3.
1. Na podstawie art. 31 Ustawy, Zamawiający jako Administrator danych, powierza Wykonawcy Przetwarzanie danych w imieniu i na rzecz Zamawiającego na warunkach określonych w Umowie, a Wykonawca zobowiązuje się do ich przetwarzania zgodnie z prawem i postanowieniami Umowy.
2. Zamawiający wyraża zgodę na powierzenie realizacji niniejszej Umowy osobom trzecim (podwykonawcom), w tym na powierzenie tym osobom przetwarzania danych osobowych, przy odpowiednim zastosowaniu zasad określonych w niniejszej Umowy, w zakresie w jakim niezbędne będzie udostępnienie i przetwarzanie takich danych dla wykonywania obowiązków wynikających z umowy podwykonawczej zawartej przez Wykonawcę z podwykonawcą, pod warunkiem, że podwykonawca zastosuje środki zabezpieczające, określone w przepisach prawa dotyczące przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
3. Zamawiający udziela Wykonawcy pełnomocnictwa do powierzenia w imieniu Xxxxxxxxxxxxx, przetwarzania danych osobowych przy odpowiednim zastosowaniu zasad określonych w niniejszej umowie osobom trzecim, którym Wykonawca powierzy wykonanie przedmiotu niniejszej Umowy.
3a. Jeżeli Wykonawca powierzy przetwarzanie powierzonych mu przez Zamawiającego danych podmiotowi trzeciemu, jest zobowiązany w terminie 7 dni od daty zawarcia umowy podpowierzenia, powiadomić Zamawiającego o tym przekazując następującą informację:
- imię i nazwisko (nazwę) i siedzibę podmiotu
- miejsce przetwarzania powierzonych danych osobowych
- cel przekazania danych osobowych
4. Powierzenie Przetwarzania danych następuje na podstawie Upoważnień, których wzór stanowi załącznik nr 1 do Umowy.
§ 4.
1. Powierzenie Przetwarzania danych Wykonawcy przez Zamawiającego następuje wyłącznie w celu i w zakresie w jakim jest to niezbędne do prawidłowego wykonania obowiązków
wynikających z Umowy nr
2. Wykonawca oraz Pracownicy Wykonawcy:
a) nie decydują o celach i środkach Przetwarzania danych;
b) nie są uprawnieni do zakładania oraz posiadania lub tworzenia jakichkolwiek kopii dokumentów zawierających Dane osobowe - w tym formularzy zawierających Dane osobowe lub baz Danych osobowych zapisanych w postaci dokumentów papierowych lub elektronicznych, w szczególności w poczcie elektronicznej, na dyskach komputerowych i arkuszach kalkulacyjnych innych, niż wynikające z realizacji Umowy nr ……………………………
3. Zakres przetwarzanych przez Wykonawcę danych osobowych obejmuje:
3.1 dane osobowe pacjentów w tym:
a) imię i nazwisko pacjenta
b) adres zamieszkania lub pobytu
c) numer ewidencyjny pesel
d) miejsce pracy/ nauki
e) seria i numer dowodu osobistego
f) data urodzenia
g) stan zdrowia
h) imię i nazwisko oraz dane kontaktowe członków rodziny lub innych osób upoważnionych do informowania o stanie zdrowia pajenta
3.2 dane osobowe pracowników
a) imię i nazwisko pracownika
b) adres zamieszkania lub pobytu
c) numer ewidencyjny pesel
d) seria i numer dowodu osobistego
e) data urodzenia i miejsce urodzenia
f) stan zdrowia
g) zawód/wykształcenie
h) imiona współmałżonka lub partnera życiowego, dzieci i innych członków rodziny
i) numer rachunku bankowego
j) stanowisko
3.3 dane osobowe Zleceniobiorców
a) nazwa / imię i nazwisko
b) adres siedziby/zamieszkania lub pobytu
c) numer identyfikacji podatkowej
d) regon
e) seria i numer dowodu osobistego
f) numer ewidencyjny pesel
4. W sytuacji wystąpienia konieczności rozszerzenia zakresu przetwarzanych przez Wykonawcę danych osobowych wskazanych w ust. 3 Zamawiający niezwłocznie z zachowaniem formy pisemnej poinformuje Wykonawcę o tym fakcie w celu zmiany niniejszej umowy poprzez podpisanie stosownego Aneksu.
§ 5.
1. Wykonawca upoważniony jest do przetwarzania, powierzonych na mocy umowy danych osobowy w formie papierowej oraz elektronicznej.
2. Wykonawca zobowiązuje się do przetwarzania powierzonych na mocy umowy danych osobowy przez ich:
a) weryfikację
b) utrwalenie
c) przechowywanie
d) kopiowanie
e) przekazywanie
f) zmienianie
g) usuwanie
na zasadach zgodnych z Umową nr………………………oraz niniejszą Umową Powierzenia przetwarzania danych osobowych.
§ 6.
1. Wykonawca zapewni środki techniczne i organizacyjne umożliwiające należyte zabezpieczenie Danych osobowych, wymagane przepisami prawa, w szczególności Ustawy oraz Rozporządzenia. W tym celu Wykonawca zobowiązuje się w szczególności do:
a) prowadzenia dokumentacji opisującej sposób Przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę Przetwarzanych danych a w szczególności zabezpieczających dane osobowe przed ich: udostepnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, utratą, uszkodzeniem lub zniszczeniem;
b) przechowywania Dokumentów w specjalnie do tego przeznaczonych szafach zamykanych na zamek lub w zamykanych na zamek pomieszczeniach, niedostępnych dla osób nieupoważnionych do Przetwarzania danych;
c) prowadzenia ewidencji osób upoważnionych do Przetwarzania danych.
2. Wykonawca zobowiąże osoby upoważnione umownie do przestrzegania następujących zasad postępowania z Dokumentami:
a) przetwarzania jedynie Dokumentów niezbędnych do wykonania obowiązków wynikających z Umowy nr… ;
b) przechowywania Dokumentów przez okres nie dłuższy niż czas niezbędny do zrealizowania zadań, do których wykonania Dokumenty są przeznaczone;
c) nie tworzenia kopii Dokumentów innych niż niezbędne do realizacji Umowy;
d) zachowania Danych osobowych w poufności, także po ustaniu zatrudnienia w instytucji Wykonawcy.
3. Wykonawca będzie wymagał od wszystkich pracowników upoważnionych do przetwarzania danych osobowych przestrzegania należytej staranności, w zakresie zachowania w poufności Danych osobowych oraz ich zabezpieczenia.
4. Wykonawca zobowiązuje się do:
a) zachowania w poufności wszystkich powierzonych lub uzyskanych Danych osobowych także po rozwiązaniu Umowy nr ;
b) zabezpieczenia korespondencji i wszelkich otrzymanych Dokumentów przed kradzieżą, uszkodzeniem i zaginięciem;
c) nie wykorzystywania zebranych Danych osobowych dla celów innych niż określone w Umowie nr
5. Wykonawca odpowiada za szkody, jakie powstaną wobec Zamawiającego lub osób trzecich w wyniku niezgodnego z Umową przetwarzania Danych osobowych.
§ 7.
1. Wykonawca niezwłocznie poinformuje Zamawiającego o:
a) wszelkich przypadkach naruszenia tajemnicy Danych osobowych lub o ich niewłaściwym użyciu;
b) wszelkich czynnościach z własnym udziałem w sprawach dotyczących ochrony Danych osobowych prowadzonych w szczególności przed Generalnym Inspektorem Ochrony Danych Osobowych, urzędami państwowymi, policją lub przed sądem.
2. Wykonawca zobowiązuje się do udzielenia Zamawiającemu, na każde jego żądanie, informacji na temat Przetwarzania danych przez Wykonawcę lub podwykonawcę, a w szczególności niezwłocznego przekazywania informacji o każdym przypadku naruszenia obowiązków dotyczących ochrony Danych osobowych.
§ 8
1. W przypadkach podyktowanych koniecznością wymiany danych osobowych w formie elektronicznej, Zamawiający dopuszcza możliwość przekazywania ich za pośrednictwem poczty elektronicznej lub w trybie zdalnego połączenia wyłącznie w formie załączników, z uwzględnieniem poniższych zasad:
a) Przetwarzane załączniki zawierające dane osobowe podlegają zabezpieczeniu kryptograficznemu z użyciem algorytmu na podstawie 128-bitowego klucza szyfrującego lub silniejszego, uzgodnionego pomiędzy Stronami.
b) Hasło zabezpieczające (klucz szyfrujący), zapewniające ochronę przed nieuprawnionym odszyfrowaniem załącznika, składa się, z co najmniej 12 znaków (z jednoczesnym użyciem po dwa znaki z każdej grupy, tj. małych liter, dużych liter, cyfr i znaków specjalnych).
c) Nadawca, po uzyskaniu od odbiorcy potwierdzenia otrzymania zabezpieczonych załączników, przekazuje odbiorcy hasło zabezpieczające (klucz szyfrujący) poprzez przesłanie go pocztą elektroniczną (email) za pośrednictwem wiadomości sms lub w drodze połączenia telefonicznego, z zachowaniem zasady nieujawniania hasła osobom nieuprawnionym.
d) Przesyłanie zaszyfrowanego załącznika odbywa się pomiędzy kontami pocztowymi Stron niniejszej Umowy. Wykonawca zobowiązany jest do zapewnienia, aby zabezpieczenia kont pocztowych, wykorzystywanych do przesyłania zaszyfrowanych załączników, zapobiegały ich utracie i dostępowi osób nieuprawnionych.
e) Wykonawca zobowiązuje się chronić własne zasoby teleinformatyczne uczestniczące bezpośrednio lub pośrednio w procesie przetwarzania danych osobowych Zamawiającego, przed ryzykiem wystąpienia zdarzeń mogących wpłynąć na naruszenie bezpieczeństwa danych osobowych Zamawiającego.
§ 9
1. W kwestiach nieuregulowanych w Umowie zastosowanie mają przepisy Ustawy oraz przepisy wykonawcze wydane na podstawie Ustawy.
2. Umowa zostaje zawarta na czas realizacji Umowy nr z dniem rozwiązania
Umowy nr ……………. rozwiązaniu ulega również niniejsza Umowa.
3. Umowa wchodzi w życie z dniem jej podpisania przez Xxxxxx.
4. Wykonawca najpóźniej w ciągu 30 dni licząc od daty wygaśnięcia roszczeń lub zobowiązań stron wynikających z odrębnych przepisów prawa lub ograniczeń technicznych zobowiązany jest do zwrotu wszelkich powierzonych przez Zamawiającego danych osobowych , a następnie usunięcia wszelkich informacji mogących posłużyć do odtworzenia w całości lub w części powierzonych danych osobowych co zostanie powierzone sporządzonym przez Wykonawcę protokołem odbioru i usunięcia podpisanym przez osoby uprawnione do reprezentacji Wykonawcy, o ile strony pisemnie nie uzgodnią inaczej.
5. Zamawiający zastrzega możliwość zmiany umowy po wejściu w życie rozporządzenia o ochronie danych osobowych (RODO).
6. Integralną część Umowy stanowią:
a) Załącznik nr 1: Wzór upoważnienia do Przetwarzania danych osobowych;
b) Załącznik nr 2: Wzór odwołania upoważnienia do Przetwarzania danych osobowych
7. Umowa została sporządzona w 2 jednobrzmiących egzemplarzach.
ZAMAWIAJĄCY WYKONAWCA
Załącznik nr 1 do Umowy ………….
UPOWAŻNIENIE Nr DO PRZETWARZANIA DANYCH OSOBOWYCH UCZESTNIKÓW PROJEKTÓW W RAMACH REALIZACJI
UMOWY nr ......... z dnia.............................
Z dniem [ ] r., na podstawie art. 37 w związku z art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r., poz. 922, z późn. zm.), upoważniam [ ] do Przetwarzania danych osobowych uczestników projektów w ramach realizacji Umowy nr ………………………………………………………
Upoważnienie obowiązuje do dnia odwołania, nie później jednak niż do dnia r.
Upoważnienie wygasa z chwilą ustania Pana/Pani* zatrudnienia jako pracownika w ramach Umowy z dnia [ ].
………………………………………………………… Czytelny podpis osoby reprezentującej Wykonawcę upoważnionego do wydawania i odwoływania
upoważnień
Załącznik nr 2 do Umowy…………..
ODWOŁANIE UPOWAŻNIENIA Nr
DO PRZETWARZANIA DANYCH OSOBOWYCH UCZESTNIKÓW PROJEKTÓW W RAMACH REALIZACJI UMOWY nr ... z dnia .........................................
Z dniem [ ] r., na podstawie art. 37 w związku z art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r., poz. 922,
z późn. zm.), odwołuję upoważnienie
[ ] do Przetwarzania danych osobowych uczestników projektów w ramach realizacji Umowy nr ........
………………………………………………………… Czytelny podpis osoby reprezentującej Wykonawcę upoważnionego do wydawania i odwoływania
upoważnień