UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (wzór)
załącznik do umowy podstawowej
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (wzór)
zawarta w dniu 2020 r. w Szczecinie pomiędzy:
Narodowym Funduszem Zdrowia z siedzibą w Warszawie (02-528) przy xx. Xxxxxxxxxxxx 00/00, reprezentowanym przez:
Xxxxxx Xxxxxx – pełniącego obowiązki Prezesa Narodowego Funduszu Zdrowia, w imieniu którego działa pełnomocnik:
_
NIP 851 28 86 821
REGON 015817985-00096
zwanym dalej Zamawiającym
a
NIP REGON
zwanym/zwaną dalej Wykonawcą
§ 1
Przedmiotem umowy jest określenie zasad powierzenia Wykonawcy przez Zamawiającego i zabezpieczenia przetwarzania danych osobowych, w związku z zawarciem w dniu 2020 r. umowy, której przedmiotem jest serwis i aktualizacja oprogramowania Delphi Deployment (zwanej dalej umową podstawową).
§ 2
Zamawiający powierza przetwarzanie danych osobowych w ramach łączącej Strony umowy podstawowej, zgodnie z zasadami wskazanymi w:
1) rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych),
2) ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2019 r. poz. 1781).
§ 3
1. Zamawiający powierza Wykonawcy przetwarzanie danych osobowych, o których mowa w ust. 4, w zakresie i w celu wywiązania się przez Wykonawcę z realizacji przedmiotu umowy podstawowej oraz na okres jego realizacji.
2. Wykonawca zapewnia, że dane, o których mowa w ust. 4, będą przetwarzane wyłącznie w zakresie i w celu niezbędnym dla realizacji przedmiotu umowy podstawowej, w sposób i w granicach określonych przez Zamawiającego.
3. Dane osobowe zwykłe będą przetwarzane przez Wykonawcę tylko i wyłącznie, w celu realizacji umowy podstawowej, w szczególności w celu świadczenia usługi asysty technicznej dla oprogramowania Delphi Deployment.
4. Zakres przetwarzania obejmuje następujące dane zwykłe:
1) imiona i nazwiska pracowników Zamawiającego,
2) identyfikatory logowania pracowników Zamawiającego.
5. Wykonawca przyjmuje do przetwarzania dane osobowe, o których mowa w ust. 4, w celu realizacji przedmiotu umowy podstawowej oraz oświadcza, iż zna i wypełnia obowiązujące w tym zakresie przepisy:
1) rozporządzenia Parlamentu Europejskiego i Rady ( UE ) 2016/679 z dnia 27 kwietnia 2016 r,
2) ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych
oraz zobowiązuje się do przetwarzania danych zgodnie z tymi przepisami i zachowania wymaganej staranności w zabezpieczeniu powierzonych mu danych osobowych zgodnie z przepisami.
6. Zamawiający wyłącza możliwość jakiegokolwiek udostępniania lub rozpowszechniania danych przez Wykonawcę, z zastrzeżeniem ust. 7 i 8, a ponadto ich kopiowania w ilości większej aniżeli niezbędna i przechowywania przez okres dłuższy aniżeli niezbędny dla realizacji przedmiotu umowy podstawowej, przy czym dopuszcza się wykonywanie kopii zapasowych systemu stosownie do zasad ochrony danych obowiązujących u Wykonawcy, a czas przechowywania kopii zapasowych nie będzie przekraczał 1 miesiąca.
7. Wykonawca może powierzyć dane osobowe objęte niniejszą umową do dalszego przetwarzania podwykonawcom jedynie w celu wykonania umowy, po uzyskaniu uprzedniej pisemnej zgody Zamawiającego.
8. O ile Wykonawca zamierza powierzyć realizację zadań lub usług wynikających z umowy podstawowej podwykonawcy, a ich wykonanie wymagałoby przetwarzania danych osobowych wchodzących w skład zbioru, zobowiązany jest jednocześnie zawrzeć, z tą umową, umowę powierzenia przetwarzania danych osobowych z podwykonawcą, zawierającą postanowienia określające zasady udostępniania i przetwarzania danych osobowych w zakresie nie szerszym, niż wynikający z powierzanych zadań i uwzględniające odpowiednio zapisy niniejszej umowy. Wykonawca zobowiązany jest niezwłocznie powiadomić Zamawiającego o zawarciu umowy powierzenia przetwarzania danych osobowych z podwykonawcą, wskazując podmiot, z którym została ona zawarta.
§ 4
1. Dostęp Wykonawcy do danych osobowych odbywa się z zastrzeżeniem zachowania wymogów dotyczących przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać, zgodnie z obowiązującym porządkiem prawnym, urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Strony przyjmują, jako dyrektywę postępowania, iż dane osobowe będą udostępniane Wykonawcy tylko w takich sytuacjach, w których jest to niezbędne do wykonania zobowiązań umownych, co oznacza, że pracownicy Zamawiającego każdorazowo będą formułować zgłoszenia do Wykonawcy w taki sposób, aby - o ile jest to możliwe - nie zawierały danych osobowych.
2. W przypadku konieczności przetwarzania danych przez Wykonawcę w infrastrukturze:
1) Zamawiającego - Wykonawca zwróci się z wnioskiem o dostęp, określając wnioskowane do udostępnienia zasoby i czas dostępu. Połączenie będzie realizowane za pomocą protokołu RDP. Czynności wykonane podczas połączenia są rejestrowane na urządzeniach Zamawiającego,
2) Wykonawcy - dane będą przekazywane przez Zamawiającego wyłącznie za pośrednictwem bezpiecznych kanałów komunikacyjnych, przy czym przekazywanie w ten sposób danych osobowych jest jedynym dopuszczalnym sposobem ich przekazywania przez Zamawiającego, zaś w przypadku udostępnienia przez Zamawiającego danych osobowych poza bezpiecznym kanałem komunikacyjnym, Wykonawca ograniczy swoje postępowanie wyłącznie do natychmiastowego usunięcia danych, tj. z chwilą powzięcia informacji o ich otrzymaniu oraz poinformowania Zamawiającego o zaistniałym incydencie.
§ 5
Zamawiający wyraża zgodę na przetwarzanie danych osobowych przez Wykonawcę poza siedzibą Zamawiającego, pod warunkiem stosowania wymaganych procedur w zakresie bezpieczeństwa i prawidłowości przetwarzania danych osobowych, zgodnie z obowiązującym porządkiem prawnym.
§ 6
Wykonawca zobowiązuje się do ochrony udostępnianych mu danych osobowych i zachowania ich w tajemnicy oraz nieudostępniania ich osobom trzecim. Integralną część niniejszej umowy stanowi umowa o zachowaniu poufności w NFZ, która stanowi załącznik do niniejszej umowy.
§ 7
W ramach zabezpieczenia przekazanych danych osobowych, do obowiązków Wykonawcy należy w szczególności:
1) stworzenie i stosowanie przy przetwarzaniu danych osobowych odpowiednich procedur i zabezpieczeń technicznych, informatycznych i prawnych, wymaganych przepisami prawa,
2) przedłożenie Zamawiającemu na piśmie listy osób uprawnionych do realizacji przedmiotu umowy, przed przystąpieniem do realizacji przedmiotu umowy,
3) zapewnienie odebrania oświadczeń, według wzorów stanowiących załączniki nr 1 i 2 do umowy o zachowaniu poufności, od osób biorących udział w przetwarzaniu danych osobowych w ramach realizacji niniejszej umowy i przedłożenie ich Zamawiającemu, przed przystąpieniem przez te osoby do pracy,
4) zapoznanie osób upoważnionych do realizacji umowy z przepisami dotyczącymi ochrony danych osobowych, w tym wewnętrznymi regulacjami Zamawiającego oraz zobowiązanie do ich stosowania, a także zachowania w tajemnicy danych osobowych uzyskanych w związku z wykonaniem niniejszej umowy i w celu realizacji tego obowiązku Zamawiający zobowiązuje się każdorazowo dostarczyć Wykonawcy odpowiednie przepisy wewnętrzne, których zakres stosowania przez Wykonawcę podlega uzgodnieniu między Stronami,
5) prowadzenie dokumentacji opisującej sposób przetwarzania danych osobowych, zarówno w infrastrukturze Wykonawcy, jak i w ramach udzielonego dostępu, w sposób pozwalający na odtworzenie poszczególnych działań Wykonawcy i ocenę ich dopuszczalności, w tym w sposób wynikający z obowiązujących przepisów,
6) pomoc Zamawiającemu w niezbędnym zakresie, w celu wywiązania się z obowiązku odpowiadania na żądania osoby, której dane dotyczą,
7) pisemne informowanie Zamawiającego, bez zbędnej zwłoki, najpóźniej w ciągu 24 godzin, o stwierdzeniu naruszenia ochrony danych osobowych.
§ 8
1. Wykonawca wyraża zgodę i zobowiązuje się umożliwić Zamawiającemu kontrolowanie Wykonawcy, w tym pomieszczeń i sprzętu używanego przy przetwarzaniu danych osobowych, w zakresie niezbędnym do stwierdzenia prawidłowości stosowanych zabezpieczeń danych osobowych oraz realizacji obowiązków stąd wynikających, a także w zakresie oceny prawidłowości przetwarzania danych osobowych udostępnionych do realizacji przedmiotu umowy podstawowej.
2. Strony ustalają, że w celu wykonywania uprawnień, o których stanowi ust. 1, upoważnieni pracownicy Zamawiającego będą mieli w szczególności prawo do:
1) wstępu, w godzinach roboczych w dni robocze za okazaniem imiennego upoważnienia, do pomieszczeń, w których przetwarzane są przekazane dane osobowe i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych, w celu oceny zgodności przetwarzania danych z ustawą oraz oceny stosowanych zabezpieczeń zapewniających ich ochronę,
2) żądania złożenia pisemnych lub ustnych wyjaśnień oraz wezwania i przesłuchania osób, w zakresie niezbędnym do ustalenia stanu faktycznego,
3) żądania okazania dokumentów i wszelkich danych mających bezpośredni związek z problematyką kontroli,
4) żądania udostępnienia do kontroli urządzeń służących do przetwarzania danych,
5) zlecania sporządzania ekspertyz i opinii.
3. W toku kontroli pracownik Zamawiającego, przeprowadzający kontrolę, ma prawo wglądu do zbioru zawierającego dane osobowe, jedynie za pośrednictwem upoważnionego przedstawiciela Wykonawcy. Kontrola jest możliwa pod warunkiem przekazania Wykonawcy przez Zamawiającego pisemnego zawiadomienia o planowanej kontroli, na 3 dni robocze przed jej rozpoczęciem.
4. Z czynności kontrolnych pracownik Zamawiającego sporządzi protokół, którego jeden egzemplarz doręczy Wykonawcy.
5. Protokół podpisują upoważniony pracownik Zamawiającego i administrator bezpieczeństwa informacji Wykonawcy, który może wnieść do protokołu umotywowane zastrzeżenia i uwagi.
§ 9
1. Wykonawca odpowiada za prawidłowe przetwarzanie danych osobowych, w tym ich właściwą ochronę, przez wszystkie osoby, którymi posługuje się przy wykonywaniu niniejszej umowy oraz
umowy podstawowej i ponosi odpowiedzialność za przetwarzanie danych osobowych niezgodnie z postanowieniami niniejszej umowy lub wynikającymi z obowiązujących przepisów.
2. Wykonawca ponosi odpowiedzialność odszkodowawczą za szkody wyrządzone Zamawiającemu lub osobom trzecim - solidarnie z Zamawiającym - w związku z przetwarzaniem danych osobowych, a w szczególności w związku z ich bezprawnym udostępnieniem, czy to z winy umyślnej czy nieumyślnej. Odpowiedzialność Wykonawcy zostaje ograniczona jedynie w przypadku udostępnienia przez Zamawiającego danych osobowych poza bezpiecznymi kanałami komunikacji - do winy umyślnej i rażącego niedbalstwa.
3. W przypadku naruszenia zobowiązań wynikających z niniejszej umowy Wykonawca będzie zobowiązany do zapłaty na rzecz Zamawiającego kary umownej w wysokości 10% wynagrodzenia netto, wynikającego z umowy podstawowej. W przypadku, jeżeli wysokość szkody wyrządzonej Zamawiającemu przekroczy wysokość zastrzeżonej kary umownej, Zamawiający będzie uprawniony do dochodzenia odszkodowania uzupełniającego na zasadach ogólnych.
4. Zamawiającemu przysługiwać będzie także zwrot wszelkich kwot wydatkowanych w związku z naruszeniem zobowiązania przez Wykonawcę, w tym również kosztów odszkodowań wypłaconych osobom trzecim, w związku z naruszeniem zobowiązań przez Wykonawcę, kosztów sądowych, czy też kosztów grzywien nałożonych na Zamawiającego.
§ 10
Po zakończeniu realizacji przedmiotu umowy podstawowej:
1) Wykonawca - nie później niż w terminie do 5. dni kalendarzowych - zobowiązuje się, na swój koszt, zwrócić lub usunąć wszelkie dane osobowe, których przetwarzanie zostało mu powierzone, w tym skutecznie usunąć je również z nośników elektronicznych, pozostających w jego dyspozycji i potwierdzić powyższe przekazanym Zamawiającemu protokołem. Protokół zawierać będzie oświadczenie Wykonawcy, iż wszelkie dane przetwarzane na mocy umowy zostały Zamawiającemu zwrócone lub usunięte,
2) bezterminowo obowiązuje zobowiązanie Wykonawcy do zachowania w tajemnicy danych osobowych uzyskanych w trakcie realizacji przedmiotu umowy, także w stosunku do osób, którymi posługiwał się w toku realizacji przedmiotu umowy i w tym zakresie Wykonawca przyjmuje na siebie odpowiedzialność odszkodowawczą na zasadach wynikających z niniejszej umowy,
3) usunięcie danych osobowych z własnego systemu informatycznego Wykonawcy i urządzeń używanych przez Wykonawcę, przy ich przetwarzaniu, ma nastąpić w sposób wykluczający ich odtworzenie lub poprzez trwałe zniszczenie nośników, na których dane takie były przetwarzane.
§ 11
W sprawach nieuregulowanych niniejszą umową zastosowanie mieć będą w szczególności odpowiednie przepisy kodeksu cywilnego i przywołanych w § 2 umowy przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.
§ 12
1. Ewentualne spory mogące wyniknąć w związku z wykonywaniem postanowień umowy, Strony poddają rozstrzygnięciu właściwemu rzeczowo sądowi powszechnemu z siedzibą w Szczecinie.
2. Każda zmiana umowy wymaga zachowania formy pisemnej pod rygorem nieważności.
§ 13
Umowa została sporządzona w trzech jednobrzmiących egzemplarzach, dwa egzemplarze dla Zamawiającego i jeden egzemplarz dla Wykonawcy.
WYKONAWCA ZAMAWIAJĄCY