zwana dalej Umową powierzenia
Załącznik Nr 1
Umowa powierzenia przetwarzania danych osobowych
do Umowy nr …../2023 o udzielenie zamówienia na świadczenia zdrowotne z dnia ……………..
zwana dalej Umową powierzenia
§ 1
Definicje
Definicje oraz zasady interpretacji mające zastosowanie do niniejszego porozumienia :
Administrator Danych Osobowych : administratorem danych osobowych jest Centrum
Rehabilitacji Rolników KRUS zwane dalej Centrum , którym kieruje Dyrektor Xxxx Xxx Xxxxxxx.
Podmiot przetwarzający dane osobowe : …………………………………………………………………….., zwane dalej „Wykonawcą ”,
Umowa : ………………………………………………………………………………………………………
Naruszenie bezpieczeństwa danych osobowych : naruszenie skutkujące przypadkowym lub
bezprawnym zniszczeniem, utratą , zmianą, nieuprawnionym ujawnieniem lub dostępem do
udostępnionych danych osobowych.
Regulacje prawne dot. ochrony danych osobowych : rozporządzenie Parlamentu Europejskiego
i Rady / UE /2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz
uchylenia dyrektywy 95/46/WE zwanego dalej Rozporządzeniem oraz wszelkie przepisy i
regulacje w przedmiocie przetwarzania danych osobowych.
Dane osobowe : informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie
fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub
pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak : imię i
nazwisko, numer identyfikacyjny , dane o lokalizacji , identyfikator internetowy lub jeden bądź
inne szczególne czynniki określające fizyczną, genetyczną, psychiczną, kulturową lub społeczną
tożsamość osoby fizycznej .
§ 2
Powierzenie przetwarzania danych osobowych
Centrum Rehabilitacji Rolników KRUS w Jedlcu danych powierza …………………………………………….. w trybie art. 28 rozporządzenia dane osobowe do przetwarzania / wglądu /, na zasadach i w celu określonym w niniejszej Porozumieniu .
Wykonawca zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z Umową , Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
Podmiot przetwarzający oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi Rozporządzenia.
§ 3
Zakres i cel przetwarzania danych
………….……………………………………………., będzie przetwarzało powierzone na podstawie Porozumienia dane zwykłe i szczególnie chronione pacjentów CRR KRUS w Jedlcu - w tym dzieci do lat 16 -w postaci : imię i nazwisko, data urodzenia ,adres zamieszkania lub miejsca pobytu, nr PESEL, nr telefonu , dane dotyczące zdrowia, leczenia, rehabilitacji i diagnostyki .
Powierzone przez Centrum dane osobowe będą przetwarzane przez ………………………………….. w celu realizacji niniejszego Umowy obejmującej zakres wykonywania usługi określonej w § 3 ust. 1 Umowy.
§ 4
Sposób wykonania Porozumienia w zakresie przetwarzania danych osobowych
………….………………………………………zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia.
Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
Wykonawca zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji Umowy.
……………………………………………..nie może publikować , kopiować, przekazywać ani powielać powierzonych danych bez pisemnej zgody Dyrektora Centrum w innym celu niż wykonanie usług określonych w umowie chyba, że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa.
………………………………………………. zobowiązuje się zapewnić zachowanie w tajemnicy, o której mowa w art. 28 ust 3 pkt b Rozporządzenia przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji Umowy, zarówno w trakcie umowy ich w Podmiocie przetwarzającym, jak i po jej ustaniu.
Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem postępuje zgodnie z dyspozycją Administratora danych osobowych oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
W miarę możliwości Wykonawca pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, oraz wywiązywania się z obowiązków określonych w art. 32–36 Rozporządzenia.
§ 5
Prawo kontroli
Centrum zgodnie z art. 28 ust. 3 pkt h Rozporządzenia ma prawo kontroli, czy środki zastosowane przez Wykonawcę przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełnia postanowienia niniejszej Umowy.
Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia.
§ 6
Podpowierzenie
Podmiot przetwarzający może powierzyć dane osobowe objęte Umową do dalszego przetwarzania podwykonawcom jedynie w celu wykonania Umowy, po uzyskaniu uprzedniej pisemnej zgody Administratora danych.
Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora danych, chyba że obowiązek taki nakłada na Podmiot przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
Podwykonawca, o którym mowa w § 6 ust. 1 Umowy , winien spełniać te same gwarancje i obowiązki, jakie zostały nałożone na Podmiot przetwarzający w Porozumieniu.
……………………………………ponosi pełną odpowiedzialność wobec Centrum za niewywiązanie się ze spoczywających na podwykonawcy obowiązków ochrony danych.
§ 7
Odpowiedzialność Podmiotu przetwarzającego
……………………………………………………….. jest odpowiedzialne za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
§ 8
Zasady zachowania poufności
………………………………………….. zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora danych i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Centrum w innym celu niż wykonanie obowiązków określonych w Umowie , chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa .
Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
§ 10
Naruszenie bezpieczeństwa danych osobowych oraz procedura informowania
Wykonawca jest bezwzględnie zobowiązany do niezwłocznego poinformowania CRR KRUS w Jedlcu o jakimkolwiek naruszeniu bezpieczeństwa danych osobowych jednak nie później niż w terminie 24 godzin od momentu uzyskania informacji o wystąpieniu naruszenia.
W sytuacji wystąpienia naruszenia bezpieczeństwa danych osobowych , wymaga się aby firma przedstawiała Centrum następujące informacje :
- data i godzina zaobserwowania zdarzenia po raz pierwszy,
- opis zdarzenia ,
- miejsce wystąpienia zdarzenia,
- liczba zdarzeń / jeżeli zdarzenia miało miejsce wielokrotnie /
- podjęte działania do momentu zgłoszenia
§ 11
Postanowienia końcowe
Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach dla każdej ze Stron.
W sprawach nieuregulowanych Umową zastosowanie będą miały przepisy Kodeksu cywilnego oraz Rozporządzenia.
_______________________ _______________________
Administrator danych Podmiot przetwarzający