Umowa powierzenia przetwarzania danych osobowych
Załącznik nr 4
Umowa powierzenia przetwarzania danych osobowych
(dalej „Umowa powierzenia”)
Umowa powierzenia Nr ………………………………. zawarta dnia …………………………..
Szpital Miejski im. Xxxxxxxxxx Xxxxxx z siedzibą w Poznaniu przy ul. Xxxxxxxxxxx 0, NIP 781-16-19- 837, REGON 000313325, reprezentowaną przez:
- Xxxxxxxx Xxxxxxxxxx- Xxx – Dyrektora ,
Zwaną w dalszej części niniejszej umowy „Zleceniodawcą” lub „Administratorem” oraz
………………………………………………………………………….z siedzibą w ,
NIP: ……………………………….., REGON , reprezentowaną przez:
- ………………………………………………………., zwaną dalej „Procesorem”,
zwanymi dalej łącznie „Stronami” lub indywidualnie „Stroną”.
Zważywszy, że:
• Strony łączy umowa o świadczenie usług z dnia (dalej: „Umowa Główna”) i o
ile dla jej wykonania niezbędne jest powierzenie przetwarzania danych osobowych, to odbywa się ono na mocy niniejszej Umowy powierzenia,
• Strony zobowiązane są do stosowania przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”),
• Strony postanowiły określić zasady powierzenia przetwarzania danych osobowych, Strony zgodnie postanawiają zawrzeć niniejszą Umowę powierzenia o następującej treści:
§ 1
Postanowienia ogólne
1. Szpital Miejski im. Xxxxxxxxxx Xxxxxx oświadcza, że jest Administratorem w rozumieniu art. 4 pkt 7 RODO.
2. Procesor oświadcza, że posiada zasoby infrastrukturalne, doświadczenie, wiedzę oraz
wykwalifikowany personel, w zakresie umożliwiającym należyte wykonanie Umowy powierzenia, w zgodzie z obowiązującymi przepisami prawa. W szczególności Procesor oświadcza, że znane mu są zasady przetwarzania i zabezpieczenia danych osobowych wynikające z RODO.
3. Na podstawie Umowy Głównej Procesor będzie przetwarzał dane osobowe na polecenie Administratora na warunkach określonych w niniejszej Umowie powierzenia.
§ 2
Przedmiot Umowy
1. Strony zgodnie oświadczają, że o ile dla wykonania Umowy Głównej niezbędne jest przetwarzanie danych osobowych to z zastrzeżeniem postanowień § 10 - szczegółowy ich zakres dotyczący kategorii danych osobowych (dalej „Dane” lub „powierzone dane osobowe”), okresu ich przetwarzania oraz zasad ich usuwania oraz zwrotu, jak również kategorii podmiotów, których dane dotyczą zostały opisane w Załączniku nr 1 do niniejszej Umowy powierzenia.
2. Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie danych zwykłych i danych szczególnych zawartych w dokumentacji medycznej w celu wykonywania przez Procesora świadczeń określonych Umową Główną, polegających na:
…………………………………………, określonych w warunkach współpracy między Stronami.
§ 3
Obszar przetwarzania
1. Procesor nie może przekazywać (transferować) danych do państwa trzeciego, które znajduje się poza Europejskim Obszarem Gospodarczym, chyba że Administrator udzieli mu uprzedniej, pisemnej zgody zezwalającej na taki transfer.
2. Jeśli Administrator udzieli Procesorowi zgody na przekazanie Danych do państwa trzeciego, które znajduje się poza Europejskim Obszarem Gospodarczym, Procesor może dokonać transferu tych Danych tylko na zasadach określonych w obowiązujących przepisach.
§ 4
Wydanie Danych
W celu wykonania czynności, o których mowa w § 2 powyżej, Administrator przekaże Dane Procesorowi lub udostępni je zgodnie z roboczymi ustaleniami Stron.
§ 5
Obowiązki Procesora
1. Procesor jest zobowiązany przy wykonywaniu czynności, o których mowa w § 2 powyżej, stosować się do instrukcji Administratora, jeżeli Administrator takie instrukcje mu przekaże.
2. Procesor zobowiązuje się przetwarzać Dane zgodnie z RODO, polskimi przepisami przyjętymi w celu umożliwienia stosowania RODO, innymi obowiązującymi przepisami prawa, Umową Główną, Umową powierzenia oraz instrukcjami Administratora, o których mowa w ust. 1 powyżej.
3. Procesor zobowiązuje się przetwarzać Dane wyłącznie na udokumentowane polecenie Administratora (na podstawie niniejszej Umowy powierzenia lub w ramach instrukcji, o których mowa w ust. 1 powyżej lub w innym oświadczeniu dostarczonym Procesorowi przez Administratora), chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Umowę powierzenia oraz powyższe instrukcje i wystąpienia Administratora nakłada na Procesora obowiązujące prawo. Procesor każdorazowo poinformuje Administratora drogą elektroniczną – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny.
4. Procesor zobowiązuje się do przetwarzania Danych wyłącznie w zakresie i celu przewidzianym w niniejszej Umowie powierzenia lub Umowie Głównej. Procesor ponosi odpowiedzialność za przetwarzanie danych niezgodnie z postanowieniami Umowy powierzenia, a także z naruszeniem obowiązujących przepisów prawa dotyczących przetwarzania danych osobowych, a w szczególności przepisów RODO.
5. Przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
6. Procesor zobowiązuje się stosować przez cały okres obowiązywania Umowy powierzenia odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych określonych w art. 25 RODO.
7. Procesor zobowiązuje się wspierać Administratora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji obowiązku odpowiadania na żądania osób, których Dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. Współpraca Stron w zakresie wskazanym w zdaniu poprzedzającym powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków przez Administratora. W związku z realizacją tego obowiązku Procesor jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 5 dni, w formie określonej przez Administratora. Procesor powinien również niezwłocznie, jednak nie później niż w terminie 2 dni, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Procesorowi przez Administratora, złożonym u Procesora. Procesor nie będzie jednak odpowiadał na taki wniosek bez uprzedniej zgody lub wyraźnego polecenia Administratora.
8. Procesor zobowiązuje się pomagać Administratorowi wywiązać się z obowiązków określonych w RODO, w tym w szczególności w art. 32–36 RODO.
9. Procesor zobowiązuje się prowadzić w formie pisemnej (w tym elektronicznej) rejestr wszystkich kategorii czynności przetwarzania Danych dokonywanych w imieniu Administratora, zawierający informacje wskazane w Załączniku nr 2 do niniejszej Umowy powierzenia.
10. Procesor zobowiązuje się udostępniać Administratorowi na każde jego żądanie, nie później niż w terminie 3 dni, wszelkie informacje niezbędne do wykazania spełnienia przez Administratora lub Procesora – w zależności od treści żądania Administratora - obowiązków wynikających z właściwych przepisów prawa, w szczególności z RODO, w tym przekazywać informacje o stosowanych zabezpieczeniach, zidentyfikowanych zagrożeniach w obszarze ochrony danych osobowych.
11. Procesor zobowiązuje się niezwłocznie informować Administratora, jeżeli, jego zdaniem, instrukcja Administratora udzielona zgodnie z ust. 1 i 3 powyżej stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych osobowych; informacja w tym przedmiocie powinna zawierać stosowne uzasadnienie i wskazanie przepisu prawa, który, zdaniem Xxxxxxxxx, został naruszony.
12. Procesor zobowiązuje się niezwłocznie, jednak nie później niż w ciągu 2 dni, informować (o ile nie doprowadzi to do naruszenia przepisów obowiązującego prawa) Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania Danych przez Procesora, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania Danych, skierowanej do Procesora, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania Danych przez Procesora, w szczególności prowadzonych przez organ nadzoru, a także o wszelkich skargach osób związanych z przetwarzaniem ich danych
osobowych. Obowiązek ten istnieje nawet po wygaśnięciu lub rozwiązaniu Umowy powierzenia. Administrator, zarówno w czasie obowiązywania Umowy powierzenia, a także po jego wygaśnięciu lub rozwiązaniu ma prawo do:
a) uczestniczenia w kontroli,
b) wnoszenia uwag do treści sprawozdania pokontrolnego,
c) wnoszenia uwag do treści odpowiedzi na pisma i decyzje organu nadzorczego dotyczące chociażby pośrednio przetwarzania powierzonych danych osobowych, jak również uwag do treści odpowiedzi na skargi podmiotów Danych udzielanych przez Procesora.
§ 6
Personel i podwykonawcy Procesora
1. Procesor może zlecić wykonywanie określonych w Umowie Głównej działań wyłącznie pracownikom (personel Procesora) upoważnionym i działającym na polecenie Procesora, zobowiązując te osoby do zachowania standardów ochrony danych osobowych określonych w RODO i w niniejszej Umowie powierzenia. Procesor ponosi odpowiedzialność za działania i zaniechania powyższych osób jak za swoje własne działania lub zaniechania.
2. Procesor zobowiązuje się, że wszystkie osoby dokonujące przetwarzania Danych w imieniu Xxxxxxxxx, przed przystąpieniem do wykonywania tych czynności:
a) podpiszą oświadczenie o odpowiedzialności za ochronę powierzonych danych osobowych. Na żądanie Administratora treść oświadczenia zostanie przedstawiona do akceptacji;
b) zobowiążą się do zachowania tajemnicy lub będą podlegać odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy i będą działać wyłącznie w zakresie udzielonego im upoważnienia, w tym będą podejmować wyłącznie czynności, o których mowa w § 2 powyżej;
c) zostaną przeszkolone z przepisów dotyczących przetwarzania danych osobowych. Szkolenie będzie obejmowało w szczególności następujące zagadnienia:
− podstawowe definicje związane z przetwarzaniem danych, w tym definicję danych osobowych.
− zasady i warunki przetwarzania danych osobowych,
− zasady bezpieczeństwa, w tym zakaz dokonywania bez upoważnienia: odczytu, modyfikacji, powielania, usuwania, zapisywania na nośnikach oraz przekazywania danych w dowolnej formie,
− prawa osób, których dane są przetwarzane,
− zasady zgłaszania naruszeń ochrony danych osobowych.
3. Administrator wyraża ogólną zgodę na to, by Procesor korzystał z usług innego podmiotu przetwarzającego, przy czym:
a) Procesor zobowiązany jest poinformować pisemnie Administratora o wszelkich zamierzonych działaniach dotyczących dodania, zmianach lub zastąpienia innych podmiotów przetwarzających, dając tym samym Administratorowi możliwość wyrażenia sprzeciwu wobec tych działań,
b) brak wyrażonego sprzeciwu w ciągu 14 dni roboczych od daty potwierdzonej wysyłki zawiadomienia uznaje się jako akceptację Administratora działań Procesora,
c) podpowierzenie przetwarzania przez Procesora podmiotowi przetwarzającemu wymaga formy umowy pisemnej lub zastosowania standardowych klauzul umownych w
przypadku, kiedy stroną jest podmiot przetwarzający dane w państwie trzecim,
d) zawarta umowa musi zawierać wszystkie zobowiązania określone w niniejszej Umowie powierzenia oraz precyzować: czas, charakter i cel przetwarzania danych z uwzględnieniem zakresu (lub kategorii) przetwarzanych danych,
e) Procesor ponosi odpowiedzialność za działania i zaniechania powyższych podmiotów jak za swoje własne działania lub zaniechania.
4. Procesor oświadcza, że korzysta lub będzie korzystał wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Na żądanie Administratora Procesor dostarczy informację, jakimi konkretnie kryteriami kierował się przy wyborze podmiotu przetwarzającego i w jakim zakresie te kryteria zostały spełnione.
5. Procesor dostarczy w terminie 5 dni pełną listę podmiotów, którym powierzył przetwarzanie danych na dzień zawarcia niniejszej Umowy powierzenia, wg Załącznika nr 3 do niniejszej Umowy.
§ 7
Kontrola przetwarzania
1. Procesor jest obowiązany do kontroli przebiegu procesu przetwarzania Danych na każdym jego etapie.
2. Administrator ma prawo do kontroli (audytów), czy przetwarzanie Danych jest zgodne z postanowieniami Umowy Głównej, przekazanych instrukcji, niniejszej Umowy powierzenia i przepisami prawa, w szczególności RODO.
3. Procesor umożliwi Administratorowi i będzie współpracował z Administratorem lub upoważnionym przez niego audytorem przy przeprowadzaniu kontroli (audytów) przebiegu procesu przetwarzania Danych.
§ 8
Zgłaszanie naruszeń
1. Procesor jest obowiązany powiadomić Administratora niezwłocznie, jednak nie później niż w ciągu do 24 h od powzięcia informacji, o wystąpieniu zdarzenia dotyczącego przetwarzania Danych, który może nosić znamiona naruszenia przetwarzania danych osobowych, na adres e- mail: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx@xxxxxxx.xxxxxx.xx; nr tel. 000000000 wraz z informacjami wskazanymi w Załączniku nr 4 do niniejszej Umowy powierzenia.
2. W przypadku, gdy w terminie wskazanym w ust. 1 powyżej, przekazanie Administratorowi kompletnych informacji nie jest możliwe, Procesor przekaże Administratorowi posiadane informacje wraz ze wskazaniem terminu przekazania kompletnych informacji. Procesor uzasadni przyczyny opóźnienia w przekazaniu informacji.
3. Przez naruszenie ochrony danych osobowych rozumie się naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych na zlecenie Administratora.
4. Procesor zobowiązuje się współdziałać z Administratorem przy ustalaniu szczegółów związanych ze zgłoszonym naruszeniem, w szczególności przyczyn wystąpienia naruszenia, skutków naruszenia oraz we wdrażaniu środków naprawczych.
§ 9
Odpowiedzialność
1. Procesor zobowiązuje się do współdziałania z Administratorem w celu skutecznego oddalenia roszczeń osób, których dane osobowe zostały powierzone do przetwarzania w ramach Umowy powierzenia, jak również w celu udzielenia wyjaśnień oraz podjęcia wszelkiej możliwej obrony w ramach postępowań wszczętych przez właściwe organy, dotyczących procesu przetwarzania Danych z udziałem Procesora.
2. Jeżeli w związku z zachowaniem Procesora na Administratora zostanie nałożona kara za naruszenie ochrony danych osobowych, wówczas Procesor zapłaci na żądanie Administratora kwotę stanowiącą co najmniej równowartość kary poniesionej przez Administratora oraz zobowiązuje się zwrócić Administratorowi wszystkie koszty poniesione przez niego celem odparcia roszczenia.
3. W przypadku wyegzekwowania przez podmiot Danych od Administratora odszkodowania z tytułu niezgodnego z prawem przetwarzania jego danych osobowych przez Procesora, Procesor zapłaci na żądanie Administratora kwotę stanowiącą co najmniej równowartość sumy pieniężnej wyegzekwowanej od Administratora przez podmiot Danych występujący z takim roszczeniem, oraz zobowiązuje się zwrócić Administratorowi wszystkie koszty poniesione przez niego celem odparcia roszczenia.
§ 10
Czas przetwarzania i rozwiązanie Umowy powierzenia
1. Przetwarzanie Danych na podstawie niniejszej Umowy powierzenia dopuszczalne jest w okresie obowiązywania Umowy Głównej. W celu uniknięcia wątpliwości, rozwiązanie Umowy Głównej skutkuje rozwiązaniem Umowy powierzenia.
2. W przypadku, gdy Procesor narusza zobowiązania wynikające z niniejszej Umowy powierzenia, Administrator może rozwiązać Umowę Główną ze skutkiem natychmiastowym. W szczególności Administrator może rozwiązać łączące Strony umowy ze skutkiem natychmiastowym, jeśli kontrola prowadzona przez właściwy organ lub przez Administratora wykaże, że Procesor nie stosuje zasad opisanych w Umowie powierzenia lub wynikających z RODO albo innych przepisów prawa dotyczących przetwarzania danych osobowych.
3. Procesor z chwilą rozwiązania lub wygaśnięcia Umowy Głównej jest zobowiązany do usunięcia lub zwrotu Danych z własnych nośników i systemów – zależnie od decyzji Administratora, a nośniki z Danymi otrzymanymi od Administratora – zwrócić Administratorowi. Ponadto Procesor zobowiązuje się do zniszczenia wszelkich informacji mogących posłużyć do odtworzenia, w całości lub części, zawartości Danych, w tym do usunięcia wszelkich ich istniejących kopii, chyba że przepisy prawa nakazują przechowywanie. Jeśli Procesor nie usunie Danych, jest obowiązany poinformować w ciągu 14 dni o tym fakcie Administratora wraz z podaniem przepisu prawa, który obliguje Procesora do dalszego przetwarzania Danych.
4. Z czynności usunięcia Danych Procesor sporządza protokół. Procesor zobowiązany jest przekazać Administratorowi protokół w ciągu 14 dni od dnia rozwiązania lub wygaśnięcia Umowy Głównej.
§ 11
Postanowienia końcowe
1. Umowa powierzenia wchodzi w życie z dniem ……………………………………...
2. W sprawach związanych z realizacją Umowy powierzenia wskazuje się dane kontaktowe osób odpowiedzialnych po stronie Administratora i Procesora w Załączniku nr 5 do niniejszej Umowy powierzenia.
3. O zmianie danych zawartych w Załączniku nr 5 każda ze Stron zawiadomi niezwłocznie drugą Stronę w formie elektronicznej. Zmiana danych zawartych w Załączniku nr 5 nie stanowi
zamiany Umowy powierzenia.
4. W sprawach nieuregulowanych postanowieniami Porozumienia zastosowanie mają powszechnie obowiązujące w Polsce przepisy prawa, w tym w szczególności RODO. Sądem właściwym dla sporów wynikających z niniejszej Umowy powierzenia jest Sąd właściwy miejscowo dla Administratora.
5. Wszelkie zmiany i uzupełnienia Umowy powierzenia wymagają zachowania formy pisemnej pod rygorem nieważności.
6. Umowę powierzenia sporządzono w 2 (dwóch) jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
W imieniu Procesora: | W imieniu Administratora: |
Załącznik nr 1
Przedmiot przetwarzania
Cel przetwarzania | Kategorie osób | Kategorie danych osobowych | Dane wrażliwe | Czas przetwarzania | Zasady usuwania / zwrotu danych |
Obsługa systemów informatycznych szpitala | pacjenci | nazwisko i imię (imiona),data urodzenia, oznaczenie płci, adres miejsca zamieszkania i pobytu, PESEL jeżeli został nadany, w przypadku noworodka – numer PESEL matki, a w przypadku osób, które nie mają nadanego numeru PESEL – rodzaj i numer dokumentu potwierdzającego tożsamość, imię (imiona) i nazwisko przedstawiciela ustawowego oraz adres jego zamieszkania w przypadku osób małoletnich, ubezwłasnowolnionyc h lub niezdolnych do świadomego | dane o stanie zdrowia, | zgodnie z Art. 29 Ustawy o Prawach Pacjenta i Rzeczniku Praw Pacjenta z dnia 6 listopada 2008 roku będą przetwarzane przez okres: 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu, z wyjątkiem: dokumentacji medycznej w przypadku zgonu pacjenta na skutek uszkodzenia ciała lub zatrucia, która jest przechowywana przez okres 30 lat, licząc od końca roku kalendarzowego, w którym nastąpił zgon; dokumentacji medycznej zawierającej dane niezbędne do monitorowania losów krwi i jej składników, która jest przechowywana przez okres 30 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu; zdjęć rentgenowskich przechowywanych poza dokumentacją medyczną | Po upływie okresów wymienionych obok podmiot udzielający świadczeń zdrowotnych (Administrator) niszczy dokumentację medyczną w sposób uniemożliwiający identyfikację Pacjenta, którego dotyczyła. Dokumentacja medyczna przeznaczona do zniszczenia może być wydana Pacjentowi, jego przedstawicielowi ustawowemu lub osobie upoważnionej przez Pacjenta. |
wyrażania zgody, wszystkie informacje dotyczące procesu leczenia, tworzące dokumentację medyczną, nr telefonu oraz e mail, identyfikatory oraz uprawnienia w systemach informatycznych (e- rejestracja, e-wyniki), dla osób, które Pacjent upoważnił do uzyskania informacji o stanie zdrowia: imię, nazwisko, stopień pokrewieństwa, adres zamieszkania, nr telefonu. | pacjenta, które są przechowywane przez okres 10 lat, licząc od końca roku kalendarzowego, w którym wykonano zdjęcie; skierowań na badania lub zleceń lekarza, które są przechowywane przez okres: a) 5 lat, licząc od końca roku kalendarzowego, w którym udzielono świadczenia zdrowotnego będącego przedmiotem skierowania lub zlecenia lekarza, b) 2 lat, licząc od końca roku kalendarzowego, w którym wystawiono skierowanie – w przypadku gdy świadczenie zdrowotne nie zostało udzielone z powodu niezgłoszenia się pacjenta w ustalonym terminie, chyba że pacjent odebrał skierowanie; dokumentacji medycznej dotyczącej dzieci do ukończenia 2. roku życia, która jest przechowywana przez okres 22 lat. | ||||
pracownicy | Imię, nazwisko, imiona rodziców, wykształcenie, przebieg zatrudnienia, adres zamieszkania, PESEL, data | dane o stanie zdrowia, | 50 lat od dnia zakończenia pracy u Pracodawcy. Archiwizacja dokumentów pomocniczych zgodnie z Rozporządzeniem w sprawie postępowania z |
urodzenia, miejsce zamieszkania, fotografia, adres E- mail, numer telefonu, kraj pochodzenia, płeć, obywatelstwo, numer legitymacji studenckiej, …………………………… Dane osób fizycznych podane przez pracownika do celów zgłoszenia do ZUS: Imię, nazwisko, adres zamieszkania, PESEL, data urodzenia, imiona i nazwiska osób spokrewnionych oraz nr PESEL i adresy zamieszkania, stopień pokrewieństwa | dokumentacją, zasad jej klasyfikowania i kwalifikowania oraz zasad i trybu przekazywania materiałów archiwalnych do archiwów państwowych: wnioski urlopowe będą przechowywane przez okres 2 lat. Dokumentacja związana z wypadkami zbiorowymi, śmiertelnymi i powodującymi inwalidztwo przechowywana przez 25 lat; natomiast dokumentacja związana z innymi wypadkami przez 10 lat. Analiza wypadków i chorób zawodowych przez 10 lat. Dokumentacja ZUS - dokumenty zgłoszeniowe osoby ubezpieczonej i płatnika składek powinny być przechowywane przez co najmniej 5 lat. W zakresie dokumentów rozliczeniowych kopie dokumentów rozliczeniowych przez okres 5 lat, licząc od dnia przekazania rozliczeń do ZUS (art. 47 ust. 3c ustawy o systemie ubezpieczeń społecznych). Dotyczy to przekazanych przez płatnika do ZUS kopii deklaracji rozliczeniowych (ZUS DRA) oraz kopii imiennych raportów |
miesięcznych (ZUS RCA, ZUS RZA, ZUS RSA) oraz kopii dokumentów rozliczeniowych korygujących. Dokumentacja związana z Zakładowym Funduszem Świadczeń Socjalnych: • na podstawie, której przyznano świadczenia z ZFŚS, które to korzystały ze zwolnienia w zakresie składek ZUS oraz podatku dochodowego od osób fizycznych do kwoty 1.000,00 zł w roku – okres przechowywania 5 lat, • na podstawie, której przyznano świadczenia z ZFŚS, od których zostały odprowadzone składki ZUS oraz podatek dochodowy od osób fizycznych powyżej kwoty 1.000,00 zł w roku – okres przechowywania 5 lat. Z tym, że dokumenty płatnicze, które są dowodem opłacenia składek oraz terminu ich opłacenia powinny być przechowywane do czasu przedawnienia zobowiązań podatkowych lub do czasu |
potwierdzenia przez ZUS uprawnień emerytalnych, • pozostałe dokumenty np. protokoły z posiedzeń komisji socjalnej, wnioski pracowników o świadczenia itp. – okres przechowywania nie dłużej niż 5 lat. Od 1 stycznia 2018 roku ulegnie zmianie okres archiwizacji dokumentów, to szczególnie ważne ze względu na zasadę rozliczalności art. 5 RODO. Skróceniu ulegnie okres archiwizacji dokumentów do 10 lat dla pracowników zatrudnionych po dniu wejścia ustawy w życie. Dokumentacja pracownicza osób zatrudnionych po dniu 31 grudnia 1998 r., a przed dniem 1 stycznia 2019 r. archiwizowana będzie przez okres 50 lat od dnia rozwiązania lub wygaśnięcia stosunku pracy. | |||||
zleceniobiorcy | Xxxx, nazwisko, adres, wykształcenie, przebieg zatrudnienia, adres, świadectwa pracy, wynagrodzenie, nr rachunku bankowego, | Dane o stanie zdrowia, | 50 lat od dnia zakończenia pracy u Pracodawcy. Archiwizacja dokumentów pomocniczych zgodnie z Rozporządzeniem w sprawie postępowania z dokumentacją, zasad jej |
PESEL, dokumentacja BHP, medycyny pracy, inne dane „zwykłe” przetwarzane na podstawie obowiązujących przepisów. | klasyfikowania i kwalifikowania oraz zasad i trybu przekazywania materiałów archiwalnych do archiwów państwowych: wnioski urlopowe będą przechowywane przez okres 2 lat. Dokumentacja związana z wypadkami zbiorowymi, śmiertelnymi i powodującymi inwalidztwo przechowywana przez 25 lat natomiast dokumentacja związana z innymi wypadkami przez 10 lat. Analiza wypadków i chorób zawodowych przez 10 lat. Dokumentacja ZUS - dokumenty zgłoszeniowe osoby ubezpieczonej i płatnika składek powinny być przechowywane przez co najmniej 5 lat. W zakresie dokumentów rozliczeniowych kopie dokumentów rozliczeniowych przez okres 5 lat licząc od dnia przekazania rozliczeń do ZUS (art. 47 ust. 3c ustawy o systemie ubezpieczeń społecznych). Dotyczy to przekazanych przez płatnika do ZUS kopii deklaracji rozliczeniowych (ZUS DRA) oraz kopii imiennych raportów miesięcznych (ZUS RCA, ZUS |
RZA, ZUS RSA) oraz kopii dokumentów rozliczeniowych korygujących. Dokumentacja związana z Zakładowym Funduszem Świadczeń Socjalnych: • na podstawie, której przyznano świadczenia z ZFŚS, które to korzystały ze zwolnienia w zakresie składek ZUS oraz podatku dochodowego od osób fizycznych do kwoty 1.000,00 zł w roku – okres przechowywania 5 lat, • na podstawie, której przyznano świadczenia z ZFŚS, od których zostały odprowadzone składki ZUS oraz podatek dochodowy od osób fizycznych powyżej kwoty 1.000,00 zł w roku – okres przechowywania 5 lat. Z tym, że dokumenty płatnicze, które są dowodem opłacenia składek oraz terminu ich opłacenia powinny być przechowywane do czasu przedawnienia zobowiązań podatkowych lub do czasu potwierdzenia przez ZUS uprawnień emerytalnych • pozostałe dokumenty np. protokoły z posiedzeń komisji socjalnej, wnioski |
pracowników o świadczenia itp. – okres przechowywania nie dłużej niż 5 lat. Od 1 stycznia 2018 roku ulegnie zmianie okres archiwizacji dokumentów, to szczególnie ważne ze względu na zasadę rozliczalności art. 5 RODO. Skróceniu ulegnie okres archiwizacji dokumentów do 10 lat dla pracowników zatrudnionych po dniu wejścia ustawy w życie. Dokumentacja pracownicza osób zatrudnionych po dniu 31 grudnia 1998 r. a przed dniem 1 stycznia 2019 r. archiwizowana będzie przez okres 50 lat od dnia rozwiązania lub wygaśnięcia stosunku pracy. | |||||
kontrahenci | Nazwa firmy, adres, imię i nazwisko, NIP, XXXXX | ||||
monitoring | Pacjenci, odwiedzający, pracownicy, zleceniobiorcy, kontrahenci | Wizerunek | Dane biometryczne | 3 miesiące |
Załącznik nr 2
Wzór Rejestru kategorii czynności przetwarzania
REJESTR KATEGORII CZYNNOŚCI PRZETWARZANIA DANYCH - WZÓR | LP. | ||
Kategorie przetwarzań | |||
Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa (jeżeli jest to możliwe) | |||
Administrator | Nazwa i dane kontaktowe administratora | ||
Nazwa i dane kontaktowe współadministratora | |||
Nazwa i dane kontaktowe przedstawiciela administratora (jeśli wyznaczono) | |||
Inspektor ochrony danych administratora (jeśli powołano) | |||
Czas trwania przetwarzania | |||
Nazwy państw trzecich lub organizacji międzynarodowych, do których dane są przekazywane | |||
Dokumentacja odpowiednich zabezpieczeń danych osobowych przekazywanych na podstawie art. 49 ust. 1 akapit drugi | |||
Podprzetwarzający (podwykonawca) - jeśli dotyczy | Nazwa i dane kontaktowe podprzetwarzającego | ||
Kategorie podpowierzonych przetwarzań |
Załącznik nr 3
Lista podmiotów, którym Procesor podpowierza przetwarzanie danych osobowych
LP | Nazwa podmiotu | Adres podmiotu | Rodzaj powierzonych czynności |
1 | |||
2 | |||
3 |
Załącznik nr 4
Wzór zgłoszenia naruszenia ochrony danych osobowych
Zgłoszenie naruszenia ochrony danych osobowych nr ……….. | |
Data zgłoszenia: …………………….. | |
Charakter Naruszenia | |
• Data Naruszenia | |
• Czas trwania Naruszenia | |
• Miejsce zaistnienia Naruszenia | |
• Data stwierdzenia Naruszenia | |
• Miejsce stwierdzenia Naruszenia | |
• Kategorie osób, których dane dotyczą i których dotyczy Naruszenie | |
• Przybliżona liczba osób, których dane dotyczą i których dotyczy Naruszenie | |
• Kategorie danych osobowych, których dotyczy Naruszenie | |
• Przybliżona liczba wpisów danych osobowych, których dotyczy Naruszenie | |
Opis możliwych konsekwencji Naruszenia | |
Opis środków zastosowanych lub proponowanych przez Podmiot przetwarzający w celu zaradzenia Naruszeniu, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków | |
Czy podane informacje stanowią wszystkie informacje, które dotyczą Naruszenia ochrony danych osobowych? |
Załącznik 5
Dane kontaktowe
Administrator | Procesor | |
Imię i nazwisko | ||
Stanowisko | Inspektor Ochrony Danych Osobowych | |
Nr telefonu | ||
Adres e-mail |