UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w dniu w Warszawie pomiędzy:
Samodzielny Publiczny Zakład Opieki Zdrowotnej z siedzibą w Konstancinie-Jeziornej, xx. Xxxxxxx 00x, wpisaną do Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, numer KRS: 0000146411 NIP:1230917286, REGON: 016415409 reprezentowaną przez:
1. Panią Xxxxx Xxxxxxxxx - Dyrektora SPZOZ zwaną dalej „Administratorem”
a
spółką/firmą ………………………………………………………………………… z siedzibą w ……………………………………………….wpisaną do Rejestru Przedsiębiorców prowadzonego przez Sąd Rejonowy ……………………………………………………………….
pod numerem …………………….., REGON ……………….., NIP …………………………….
reprezentowaną przez:
…………………………………………………………………..
zwaną dalej „Procesorem”,
dalej łącznie zwanymi „Stronami” lub pojedynczo „Stroną”.
§ 1
Definicje
Ilekroć w niniejszej umowie powierzenia przetwarzania danych osobowych mowa o:
1. „administratorze danych” – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
2. „danych osobowych” – rozumie się przez to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”).
3. „przetwarzaniu danych” – rozumie się przez to operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
4. „systemie informatycznym” – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
5. „Umowie” – rozumie się przez to niniejszą umowę powierzenia przetwarzania danych osobowych.
6. „Ustawie o ochronie danych osobowych” – rozumie się przez to Ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2016 r., poz. 922 z późn. zm.).
7. „Ogólnym rozporządzeniu o ochronie danych”, „RODO” – rozumie się przez to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
§ 2
Przedmiot Umowy
1. Przedmiotem Umowy jest powierzenie Procesorowi przez Administratora, przetwarzania danych osobowych, w związku z wykonywaniem czynności diagnostyki laboratoryjnej przez Procesora.
2. Administrator oświadcza, że jest administratorem danych, o których mowa w § 3 ust. 1 Umowy.
3. Administrator oświadcza, że dane przekazywane na podstawie Umowy zostały zgromadzone w sposób zgodny z przepisami prawa.
4. Administrator powierza Procesorowi przetwarzanie danych osobowych, a Procesor zobowiązuje się do ich przetwarzania zgodnego z prawem i Umową.
5. Procesor będzie przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w Umowie.
6. Procesor będzie przetwarzać powierzone dane przez czas niezbędny do realizacji celu powierzenia przetwarzania danych, nie dłużej niż przez czas trwania Umowy.
§ 3
Powierzenie przetwarzania danych osobowych
1. Administrator powierza Procesorowi przetwarzanie danych osobowych pacjentów korzystających ze świadczeń zdrowotnych, przedstawicieli ustawowych pacjentów, osób upoważnionych do uzyskiwania dokumentacji medycznej i informacji o stanie zdrowia, pracowników i osób zatrudnionych na podstawie umów cywilnoprawnych, kontrahentów i dostawców usług oraz pracowników medycznych.
2. Powierzenie obejmuje dane osobowe, o których mowa w art. 27 Ustawy i art. 9 Ogólnego rozporządzenia o przetwarzaniu danych osobowych.
3. Zakres powierzonych do przetwarzania danych osobowych obejmuje w szczególności:
1) imię (xxxxxx) i nazwisko;
2) nazwisko xxxxxx;
3) płeć;
4) obywatelstwo;
5) wykształcenie;
6) numer PESEL;
7) data urodzenia;
8) w przypadku osób, które nie mają nadanego numeru PESEL – numer paszportu albo innego dokumentu stwierdzającego tożsamość;
9) adres miejsca zamieszkania i adres do korespondencji;
10) adres miejsca pobytu na terytorium Rzeczypospolitej Polskiej, jeżeli dana osoba nie ma na terytorium Rzeczypospolitej Polskiej miejsca zamieszkania;
11) adres poczty elektronicznej;
12) numer i rodzaj dokumentu potwierdzającego prawo do świadczeń opieki zdrowotnej finansowanych ze środków publicznych;
13) rodzaj uprawnień oraz numer i termin ważności dokumentów potwierdzających uprawnienia do świadczeń opieki zdrowotnej określonego rodzaju oraz datę utraty tych uprawnień;
14) numery identyfikacyjne i numery ewidencyjne nadawane usługobiorcom przez płatników, usługodawców oraz w ramach realizowanych umów;
15) informacja o prawie do świadczeń opieki zdrowotnej finansowanych ze środków publicznych;
16) numer identyfikacyjny płatnika;
17) numer telefonu kontaktowego;
18) informacja o sprzeciwie zawartym w centralnym rejestrze sprzeciwów na pobranie komórek, tkanek i narządów ze zwłok ludzkich;
19) opis stanu zdrowia pacjenta lub udzielonych mu świadczeń zdrowotnych, w tym skierowania, opisy i wyniki badań;
20) numer prawa wykonywania zawodu;
21) identyfikator w NFZ;
22) nr umowy POZ;
23) adres miejsca zamieszkania i adres placówki;
24) nazwa świadczeniodawcy;
25) inne dane osobowe (w szczególności: zamówienia, faktury, dokumenty wydania, dokumenty przyjęcia, listy przewozowe, oferty, należności i zobowiązania handlowe, inne dane identyfikacyjne zgromadzone w rejestrach dokumentów ewidencjonowanych w tych systemach oraz rejestrach pracy systemów).
4. Celem powierzenia przetwarzania danych osobowych jest wykonywanie czynności diagnostyki laboratoryjnej przez Procesora.
5. Procesor, w zakresie realizacji celu określonego w ust. 4 powyżej, jest uprawniony do wykonywania następujących operacji na danych: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie, udostępnienie, usuwanie, niszczenie.
6. Przetwarzanie powierzonych danych odbywać się będzie formie papierowej lub przy wykorzystaniu systemów informatycznych w sposób w pełni lub częściowo zautomatyzowany.
7. Administrator gwarantuje i zobowiązuje się przez czas wykonywania Umowy zapewnić, że:
1) jako samodzielnie decydujący o celach i środkach przetwarzania danych w celach określonych powyżej jest uprawniony do powierzenia przetwarzania danych osobowych Procesorowi;
2) operacje przetwarzania, jakie zleca Procesorowi, są zgodne z przepisami prawa i nie naruszają praw osób trzecich,
a w razie naruszenia ww. gwarancji i zobowiązań zobowiązuje się w pełnym zakresie dopuszczalnym przepisami prawa zwolnić Procesora z odpowiedzialności za takie naruszenia, w szczególności zwrócić nałożone lub zasądzone od Procesora kary, odszkodowania lub zadośćuczynienia.
§ 4
Obowiązki i prawa Administratora i Procesora
1. Procesor zobowiązuje się do realizacji każdego z obowiązków wymienionych w art. 28 ust. 3 a-h RODO. Strony postanawiają, że Administrator jest uprawniony do realizowania swoich praw określonych w RODO.
2. W szczególności Procesor zobowiązuje się:
1) przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek taki nakłada na niego prawo, któremu podlega Procesor (w takim przypadku przed rozpoczęciem przetwarzania Procesor informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny). Polecenia Administratora zawarte będą w pisemnych lub e-mailowych komunikatach do Procesora, które mogą być kierowane przez Administratora poprzez Koordynatora lub inne osoby, którymi posługuje się przy wykonywaniu Umowy;
2) zapewnić, że posługuje się tylko osobami upoważnionymi do przetwarzania danych osobowych zobowiązanymi do zachowania tajemnicy;
3) podejmuje adekwatne środki wymagane na mocy art. 32 RODO;
4) przestrzegać warunków korzystania z usług innego podmiotu przetwarzającego, wynikających z RODO. Administrator wyraża zgodę na korzystanie przez Procesora z innych podmiotów przetwarzających wybranych przez Procesora (ogólna zgoda Administratora na podpowierzenie przetwarzania danych osobowych). W szczególności w razie potrzeby korzystania z podmiotu przetwarzającego poza EOG, Administrator poleca Procesorowi przekazywanie danych osobowych wyłącznie do państw zapewniających odpowiedni stopień ochrony, a także na mocy Umowy Administrator upoważnia Procesora do zawierania w imieniu i na rzecz Administratora umów opartych o standardowe klauzule ochrony danych przyjęte zgodnie z RODO, poleca Procesorowi przekazywanie danych osobowych po wejściu w życie takich umów oraz zobowiązuje się do niewypowiadania tego pełnomocnictwa przez czas trwania Umowy. Jeżeli inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na Procesorze. Administrator będzie informowany o zmianie podmiotów przetwarzających, z których korzysta Procesor, poprzez udostępnienie mu takiej informacji w postaci korespondencji elektronicznej na następujący adres Administrator @ ). Administratorowi przysługiwać będzie w takim wypadku możliwość wyrażenia sprzeciwu (oświadczenie o sprzeciwie będzie wysyłane w postaci korespondencji elektronicznej na następujący adres Procesora
…………………….), przy czym Strony postanawiają, że brak skorzystania przez Administratora z możliwości wyrażenia sprzeciwu w terminie 3 (trzech) dni od dnia otrzymania od Procesora informacji o zamiarze podpowierzenia danych jest
równoznaczne z możliwością realizacji podpowierzenia przez Procesora. W razie wniesienia sprzeciwu przez Administratora w odniesieniu do podmiotów przetwarzających, Procesor może – według swojej decyzji – albo zaprzestać współpracy z tym podmiotem dotyczącej danych osobowych w terminie 3 miesięcy, albo wypowiedzieć Umowę z przyczyn leżących po stronie Administratora;
5) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomagać Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO;
6) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomagać Administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO;
7) udostępnić Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków Procesora wynikających z RODO, a także umożliwić Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji, i przyczyniać się do nich. Administrator zobowiązuje się zawiadamiać o planowanym audycie i jego zakresie 14 dni przed rozpoczęciem audytu. Strony w trybie roboczym ustalą miejsce i godziny przeprowadzenia audytu. Administrator zwróci Procesorowi uzasadnione koszty związane z udziałem w audycie.
§ 5
Odpowiedzialność Procesora
1. Procesor jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z Umową, a w szczególności udostępnienie ich osobom nieuprawnionym.
2. W zakresie czynności objętych Umową Procesor ponosi odpowiedzialność wobec Administratora wyłącznie w zakresie winy umyślnej lub w innych przypadkach, w których bezwzględnie obowiązujące przepisy prawa uniemożliwiają wyłączenie odpowiedzialności Procesora.
3. Informacje dotyczące Procesora, w których posiadanie wchodzi Administrator w związku z zawarciem i wykonywaniem Umowy, stanowią tajemnicę przedsiębiorstwa Procesora. Administrator zobowiązuje się wykorzystywać te informacje wyłącznie do realizacji Umowy oraz wypełnienia obowiązków wynikających z bezwzględnie obowiązujących przepisów prawa.
§ 6
Usunięcie lub zwrot danych osobowych
1. Zależnie od decyzji Administratora w tym zakresie, w terminie do 14 dni roboczych od dnia zakończenia Umowy, Procesor jest zobowiązany do usunięcia lub zwrotu wszelkich powierzonych mu danych osobowych oraz usunięcia wszelkich ich istniejących kopii, chyba, że obowiązujące przepisy prawa nakazują przechowywanie tych danych osobowych.
2. Powierzenie przetwarzania danych osobowych trwa do upływu wyżej wskazanego terminu.
§ 7
Czas trwania i wypowiedzenie Umowy
1. Umowa zawarta jest na czas określony odpowiadający okresowi wykonywania czynności diagnostyki laboratoryjnej przez Procesora.
2. Administrator ma prawo wypowiedzieć Umowę w trybie natychmiastowym, gdy Procesor:
1) wykorzystał dane osobowe w sposób niezgodny z Umową;
2) wykonuje Umowę niezgodnie z obowiązującymi w tym zakresie przepisami prawa;
3) nie zaprzestał niewłaściwego przetwarzania danych osobowych;
4) zawiadomił o swojej niezdolności do wypełnienia Umowy, a w szczególności wymagań określonych w § 4 Umowy.
3. Jeżeli jedna ze Stron rażąco narusza zobowiązania wynikające z Umowy, druga Strona może wypowiedzieć Umowę ze skutkiem natychmiastowym oraz żądać naprawienia szkody poniesionej na skutek takiego naruszenia.
§ 8
Pozostałe postanowienia
1. Wykorzystanie przez Procesora danych Administratora w celach innych niż określone Umową wymaga każdorazowo zgody Administratora wyrażonej na piśmie pod rygorem nieważności.
2. W celu prawidłowego wykonania Umowy Strony powołują Koordynatorów:
1) Koordynator ze strony Administratora:
a) imię, nazwisko, adres e-mail: ;
b) numer telefonu: ;
2) Koordynator ze strony Procesora:
a) ......................., adres e-mail ;
b) numer telefonu ;
3. Jeżeli Umowa nie wskazuje inaczej, przesyłanie między Administratorem i Procesorem zawiadomień, żądań lub wniosków dotyczących wykonywania Umowy powinno następować między Koordynatorami w formie pisemnej lub poprzez e-mail, pod rygorem nieważności.
§ 9
Postanowienia końcowe
1. Umowa stanowi udokumentowanie polecenie Administratora, o którym mowa w art. 28 ust. 3 lit. a) RODO.
2. W sprawach nieuregulowanych postanowieniami Umowy zastosowanie będą mieć właściwe w tym zakresie przepisy prawa polskiego.
3. Wszelkie zmiany, uzupełnienia lub rozwiązanie Umowy wymagają zachowania formy pisemnej pod rygorem nieważności, z zastrzeżeniem, że zmiana Koordynatora Strony wymaga uprzedniego poinformowania drugiej Strony w formie pisemnej wysłanej listem poleconym pod rygorem nieważności.
4. Strony zgodnie oświadczają, iż w przypadku sporów powstałych na tle realizacji Umowy dążyć będą do polubownego ich załatwienia. W przypadku, gdy nie dojdzie do załatwienia sporu w powyższy sposób, właściwym do jego rozstrzygnięcia będzie sąd powszechny właściwy miejscowo według właściwości ogólnej.
5. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
Administrator | Procesor |