Umowa nr WZS/… /2023

Umowa nr WZS/… /2023

dotycząca powierzenia przetwarzania danych osobowych

zawarta w dniu 2023 r. w Piasecznie pomiędzy:

Starostą Piaseczyńskim – Administratorem Danych Osobowych, z siedzibą w: 05-500 Piaseczno, ul. Xxxxxxxxxxxxx 00, w osobie Xxxx Xxxxxxxxx Xxxx,

zwanym w dalszej części niniejszej Umowy „Administratorem”, a

…………………………………………………………………………

z siedzibą w: ……-…….. ……………., ul. …………………., NIP …………, REGON …………………..…, nr KRS

……………………….., zarejestrowanym w Rejestrze Podmiotów Wykonujących Działalność Leczniczą

pod numerem , reprezentowanym przez ,

zwanym w dalszej części niniejszej umowy „Podmiotem Przetwarzającym”,

zwani każdy z osobna „Stroną”, zaś łącznie „Stronami”.

W związku z realizacją umowy nr WZS/……….…/2023 z dnia ……………….….. 2023 r., zwaną dalej

„Umową pierwotną”, Strony zawarły niniejszą Umowę powierzenia przetwarzania danych osobowych, zwaną dalej „Umową powierzenia”, o następującej treści:

§ 1

Powierzenie przetwarzania danych osobowych

1. W związku z realizacją Umowy pierwotnej Administrator powierza Podmiotowi Przetwarzającemu w trybie art. 28 ust. 3 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej

„Rozporządzeniem”, dane osobowe do przetwarzania na zasadach i w celu określonym

w Umowie powierzenia.

2. Administrator oświadcza, że jest Administratorem Danych Osobowych, które powierza Podmiotowi Przetwarzającemu do przetwarzania w ramach Umowy.

3. Administrator powierza Podmiotowi Przetwarzającemu przetwarzanie danych osobowych w zakresie określonym w § 2 Umowy powierzenia.

§ 2

Zakres i cel przetwarzania danych

1. Podmiot Przetwarzający będzie przetwarzał powierzone mu przez Administratora na podstawie Umowy powierzenia dane osobowe ze zbioru danych osobowych pn. „Program profilaktyki zakażeń pneumokokowych wśród osób dorosłych w oparciu o szczepienia przeciwko pneumokokom realizowany w powiecie piaseczyńskim na lata 2021-2023”, określony w Rejestrze Czynności Przetwarzania Danych, prowadzonym przez Administratora.

2. Podmiot Przetwarzający będzie przetwarzał następujące kategorie danych osobowych osób zgłaszających się do „Programu profilaktyki zakażeń pneumokokowych wśród osób dorosłych w oparciu o szczepienia przeciwko pneumokokom realizowany w powiecie piaseczyńskim na lata 2021-2023” (dalej: „Program”) oraz osób uczestniczących w Programie: imię, nazwisko, adres zamieszkania, nr PESEL, data szczepienia, rodzaj podanej dawki, informacja o braku lub obecności odczynu poszczepiennego.

3. Dane osobowe wskazane w ust. 2 (dalej: „dane osobowe”) przetwarzane będą przez Podmiot Przetwarzający w formie papierowej i elektronicznej. Dane osobowe przetwarzane będą przez Podmiot Przetwarzający wyłącznie w celu wykonywania przez Podmiot Przetwarzający na rzecz Powiatu Piaseczyńskiego usług szczegółowo określonych w Umowie pierwotnej i w sposób z nią zgodny. Przez przetwarzanie, o którym mowa w zdaniu poprzednim rozumie się następujące operacje wykonywane na danych osobowych: zbieranie, przeglądanie, utrwalanie, organizowanie, porządkowanie, modyfikowanie, przechowywanie, usuwanie.

4. Ustala się, że zawarcie Umowy pierwotnej stanowi określone w art. 28 ust. 3 lit. a Rozporządzenia udokumentowane polecenie Administratora do przetwarzania przez Podmiot Przetwarzający danych osobowych.

§ 3

Obowiązki Podmiotu Przetwarzającego

1. Podmiot Przetwarzający zobowiązuje się do zachowania w tajemnicy wszystkich informacji dotyczących danych osobowych oraz przetwarzać je z należytą starannością oraz zgodnie z Rozporządzeniem i z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.

2. Podmiot Przetwarzający zobowiązuje się przy przetwarzaniu danych osobowych do ich zabezpieczenia poprzez podjęcie stosownych środków technicznych i organizacyjnych, o których mowa w art. 32 Rozporządzenia, zapewniających adekwatny stopień bezpieczeństwa, odpowiadający ryzyku związanemu z przetwarzaniem tych danych osobowych przez Podmiot Przetwarzający. W celu zapewnienia bezpieczeństwa powierzonych danych osobowych, Podmiot Przetwarzający wdraża co najmniej środki techniczne i organizacyjne określone w załączniku do Umowy powierzenia, który stanowi jej integralną część.

3. Podmiot Przetwarzający zobowiązuje się do zachowania w tajemnicy informacji dotyczących danych osobowych, w tym sposobów ich zabezpieczenia, także po wygaśnięciu lub rozwiązaniu Umowy pierwotnej lub Umowy powierzenia.

4. Podmiot Przetwarzający zabezpieczy dane osobowe w sposób uniemożliwiający: dostęp do nich osobom nieupoważnionym, zabranie ich przez osobę nieuprawnioną, przetwarzanie ich z naruszeniem obowiązujących przepisów prawa oraz jakąkolwiek ich utratę, w zakresie, za który w ramach niniejszej Umowy odpowiada Podmiot Przetwarzający.

5. W odniesieniu do danych osobowych Podmiot Przetwarzający zobowiązuje się niezwłocznie, jednak nie później niż w ciągu 36 godzin od momentu zaistnienia zdarzenia, zawiadomić Administratora o:

1) każdym prawnie umocowanym żądaniu udostępnienia tych danych osobowych właściwemu

organowi państwa, chyba, że zakaz zawiadomienia wynika z przepisów prawa,

a w szczególności przepisów postępowania karnego, lub gdy zakaz ma na celu zapewnienie

poufności wszczętego dochodzenia;

2) każdym nieupoważnionym dostępie do tych danych osobowych;

3) każdym żądaniu wynikającym z art. 15-22 Rozporządzenia otrzymanym od osoby, której te dane osobowe są przez niego przetwarzane;

4) otrzymaniu informacji na temat planowanej u niego kontroli organu nadzorczego lub innego uprawnionego organu, jeśli kontrola ta miałaby objąć swoim zakresem te dane osobowe;

5) otrzymaniu informacji o wszczęciu jakiegokolwiek postępowania, w szczególności administracyjnego lub sądowego bądź wydania jakiejkolwiek decyzji administracyjnej lub orzeczenia, jeśli dotyczyłyby one tych danych osobowych;

6) każdym przypadku wystąpienia incydentu naruszenia bezpieczeństwa tych danych osobowych, polegającego w szczególności na ich ujawnieniu osobom do tego nieuprawnionym oraz utracie nośników danych je zawierających.

6. W zakresie danych osobowych oraz biorąc pod uwagę charakter przetwarzania, Podmiot Przetwarzający pomaga Administratorowi wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia.

7. W zakresie danych osobowych oraz uwzględniając charakter przetwarzania i dostępne informacje, Podmiot Przetwarzający pomaga Administratorowi wywiązywać się z obowiązków określonych w art. 32-36 Rozporządzenia.

8. Podmiot Przetwarzający nie będzie przekazywał danych osobowych do państw trzecich oraz organizacji międzynarodowych, jak również do innych podmiotów nieuprawnionych do ich otrzymania.

9. Podmiot Przetwarzający zobowiązany jest do ujęcia stosownych informacji dotyczących danych osobowych w prowadzonym przez siebie rejestrze wszystkich kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 Rozporządzenia.

10. Podmiot Przetwarzający zobowiązuje się umożliwić przetwarzanie danych osobowych wyłącznie osobom, które będą posiadały wydane przez niego stosowne upoważnienie do przetwarzania danych osobowych oraz które zobowiążą się do zachowania w poufności informacji o danych osobowych, w tym o sposobach ich zabezpieczenia, także po wygaśnięciu lub rozwiązaniu Umowy pierwotnej lub Umowy powierzenia, jak również po ustaniu stosunku prawnego łączącego te osoby z Podmiotem Przetwarzającym.

11. Podmiot Przetwarzający zobowiązuje się prowadzić ewidencję osób, o których mowa w ust. 10.

12. Podmiot Przetwarzający zobowiązany jest udzielić Administratorowi – na jego pisemne żądanie

– wszelkich informacji niezbędnych do wykazania spełnienia przez Podmiot Przetwarzający jego

obowiązków określonych w Umowie powierzenia.

§ 4

Prawo do kontroli

1. Administrator, osobiście lub poprzez swojego upoważnionego przedstawiciela, ma prawo do przeprowadzenia kontroli sposobu wykonywania Umowy powierzenia poprzez przeprowadzenie

u Podmiotu Przetwarzającego zapowiedzianych audytów i doraźnych kontroli dotyczących

danych osobowych oraz żądania składania przez Podmiot Przetwarzający pisemnych wyjaśnień.

2. Na zakończenie kontroli, o której mowa w ust. 1, Administrator, osobiście lub poprzez swojego upoważnionego przedstawiciela, sporządza protokół w dwóch egzemplarzach, który podpisują Strony lub ich upoważnieni przedstawiciele. Podmiot Przetwarzający może wnieść zastrzeżenia do protokołu w ciągu 5. dni roboczych od daty jego podpisania, mając przy tym świadomość, że w momencie ujawnienia naruszenia ochrony danych osobowych fakt ten należy zgłosić organowi nadzorczemu w ciągu 72. godzin od momentu powzięcia informacji o jego zaistnieniu.

3. Podmiot Przetwarzający zobowiązuje się dostosować do zaleceń pokontrolnych Administratora lub jego upoważnionego przedstawiciela, o którym mowa w ust. 1, mających na celu usunięcie uchybień i poprawę poziomu bezpieczeństwa przetwarzania danych osobowych. W przypadku gdy zalecenia, o których mowa w zdaniu pierwszym będą wiązały się z koniecznością poniesienia przez Podmiot Przetwarzający nadmiernych i nieuzasadnionych kosztów finansowych lub niemożliwymi do wprowadzenia zmianami organizacyjnymi, musi on o tym fakcie pisemnie poinformować Administratora wraz z odpowiednim uzasadnieniem.

4. W przypadku powzięcia przez Administratora informacji o rażącym naruszeniu przez Podmiot Przetwarzający przepisów Rozporządzenia, innych przepisów dotyczących ochrony danych osobowych lub Umowy powierzenia, Podmiot Przetwarzający umożliwi Administratorowi lub jego upoważnionemu przedstawicielowi dokonanie zapowiedzianej lub niezapowiedzianej kontroli mającej na celu wyjaśnienie zaistniałego naruszenia. Ust. 2-3 stosuje się odpowiednio.

5. W ramach przeprowadzania kontroli lub audytów, o których mowa w ust. 1 i ust. 4, Administrator lub upoważniony przez niego przedstawiciel, w szczególności mają prawo do:

1) wstępu, w godzinach pracy Podmiotu Przetwarzającego, do pomieszczeń, w których zlokalizowane są dane osobowe i przeprowadzenia niezbędnych badań lub innych czynności w celu oceny zgodności przetwarzania danych osobowych z Rozporządzeniem, innymi przepisami dotyczącymi ochrony danych osobowych lub Umową powierzenia;

2) żądania złożenia przez Podmiot Przetwarzający, osoby wskazane w § 3 ust. 10 oraz innych pracowników Podmiotu Przetwarzającego, pisemnych lub ustnych wyjaśnień w zakresie niezbędnym do ustalenia stanu faktycznego;

3) przedstawiania propozycji lub żądania wprowadzenia zmian w stosunku do operacji wykonywanych przez Podmiot Przetwarzający na danych osobowych związanych z realizacją Umowy pierwotnej lub Umowy powierzenia, a dotyczących w szczególności bezpieczeństwa danych osobowych;

4) wglądu do wszelkich dokumentów i innych nośników danych mających bezpośredni związek z przedmiotem audytu lub kontroli, oraz sporządzania ich kopii;

5) Zleceniodawca swoje zastrzeżenia będzie zgłaszał Zleceniobiorcy pisemnie.

5. Podmiot Przetwarzający zobowiązuje się odpowiedzieć niezwłocznie, jednak nie później niż

w ciągu 72. godzin na każde pytanie Administratora dotyczące danych osobowych.

§ 5

Dalsze powierzenie przetwarzania danych osobowych

Podmiot Przetwarzający nie może powierzyć przetwarzania danych osobowych innym podmiotom.

§ 6

Odpowiedzialność Podmiotu Przetwarzającego

1. Podmiot Przetwarzający ponosi odpowiedzialność za udostępnienie lub wykorzystanie danych osobowych niezgodnie z Umową pierwotną lub Umową powierzenia, a w szczególności za udostępnienie tych danych osobom nieupoważnionym lub podmiotom nieuprawnionym do ich otrzymania, w tym w szczególności z uwzględnieniem § 5.

2. W przypadku naruszenia przepisów Rozporządzenia lub Umowy powierzenia z przyczyn leżących po stronie Podmiotu Przetwarzającego, w następstwie czego Administrator zostanie zobowiązany do wypłaty odszkodowania lub zostanie ukarany karą grzywny, Podmiot Przetwarzający zobowiązuje się pokryć poniesione z tego tytułu przez Administratora koszty.

3. Strony ponoszą odpowiedzialność na zasadach określonych w art. 82 Rozporządzenia.

§ 7

Czas obowiązywania Umowy

Umowa powierzenia zostaje zawarta na czas trwania Umowy pierwotnej.

§ 8

Warunki wypowiedzenia Umowy

1. Administrator ma prawo do natychmiastowego rozwiązania Umowy powierzenia przypadku, gdy Podmiot Przetwarzający:

1) wykorzystał dane osobowe w sposób niezgodny z Umową pierwotną lub Umową powierzenia;

2) powierzył przetwarzanie danych osobowych innym podmiotom;

3) nie zaprzestał lub nie zamierza zaprzestać niewłaściwego lub niezgodnego z prawem przetwarzania danych osobowych, pomimo otrzymania od Administratora wezwania do zaprzestania niewłaściwego lub niezgodnego z prawem przetwarzania danych osobowych lub jeśli zostanie to stwierdzone w trakcie kontroli, o której mowa w § 4 ust. 1 lub kontroli przeprowadzonej przez Prezesa Urzędu Ochrony Danych Osobowych;

4) zawiadomi o swojej niezdolności do dalszego wykonywania Umowy powierzenia, a w szczególności niespełniania obowiązków określonych w § 3.

2. Strony zgodnie oświadczają, że Umowa pierwotna zostaje automatycznie rozwiązana z dniem

rozwiązania Umowy powierzenia.

§ 9

Obowiązki Podmiotu Przetwarzającego po wygaśnięciu lub wypowiedzeniu Umowy

1. Podmiot Przetwarzający w przypadku wygaśnięcia lub rozwiązania Umowy powierzenia, niezwłocznie, ale nie później niż w terminie do 30. dni kalendarzowych, zobowiązuje się zwrócić Administratorowi pozostające w jego dyspozycji dane osobowe lub je usunąć, w tym również z nośników elektronicznych pozostających w jego dyspozycji, w zależności od poczynionych z Administratorem ustaleń w tym zakresie.

2. Fakt zwrócenia lub usunięcia danych, o którym mowa w ust. 1 zostanie potwierdzony podpisaniem stosownego protokołu przez Administratora i Podmiot Przetwarzający lub ich upoważnionych przedstawicieli.

3. Określony w ust. 1 obowiązek nie istnieje lub może zostać odroczony przez Administratora w przypadku, gdy Podmiot Przetwarzający zobowiązany jest na podstawie powszechnie obowiązujących przepisów prawa do zachowania dokumentacji zawierającej dane osobowe. W przypadku zaistnienia sytuacji, o której mowa w zdaniu pierwszym, Podmiot Przetwarzający musi poinformować o tym fakcie Administratora, przedstawiając mu pisemnie podstawy prawne i okoliczności takiego działania.

§ 10

Zmiany treści Umowy

Wszelkie zmiany w treści Umowy powierzenia wymagają formy pisemnej pod rygorem nieważności.

§ 11

Przepisy dotyczące spraw nieuregulowanych

W sprawach nieuregulowanych w Umowie powierzenia mają zastosowanie przepisy ustawy z dnia 23 kwietnia 1964 r. Kodeks Cywilny, przepisy Rozporządzenia oraz przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych oraz właściwe przepisy wskazane w § 3 ust. 1.

§ 12

Rozstrzyganie sporów

Spory wynikłe z tytułu niniejszej Umowy będzie rozstrzygał sąd powszechny właściwy dla miejsca siedziby Administratora.

§ 13

Postanowienia końcowe

Umowę sporządzono w trzech jednobrzmiących egzemplarzach – dwa egzemplarze dla Administratora i jeden egzemplarz dla Podmiotu Przetwarzającego.

Podmiot Przetwarzający Administrator

Środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne zastosowane przez Podmiot Przetwarzający – (nazwa podmiotu), (kod pocztowy i miejscowość siedziby), (nazwa i numer ulicy siedziby), NIP (jeśli dotyczy), REGON (jeśli dotyczy) - w celu zapewnienia bezpieczeństwa powierzonych danych osobowych

Opis technicznych i organizacyjnych środków bezpieczeństwa danych osobowych, wdrożonych przez Podmiot Przetwarzający (w tym wszelkie stosowne certyfikaty) w celu zapewnienia odpowiedniego poziomu bezpieczeństwa, z uwzględnieniem charakteru, zakresu, kontekstu i celu przetwarzania, a także ryzyka naruszenia praw i wolności osób fizycznych*:

1) Środki umożliwiające pseudonimizację i szyfrowanie danych osobowych

(opisać w wykropkowanym miejscu, jeśli ten rodzaj środków jest stosowany)

2) Środki zapewniające zdolność do ciągłego zapewnienia poufności, integralności, dostępności

i odporności systemów i usług przetwarzania

(opisać w wykropkowanym miejscu, jeśli ten rodzaj środków jest stosowany)

3) Środki zapewniające zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego

(opisać w wykropkowanym miejscu, jeśli ten rodzaj środków jest stosowany)

4) Procesy umożliwiające regularne testowanie, mierzenie i ocenianie skuteczności środków

technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania

(opisać w wykropkowanym miejscu, jeśli ten rodzaj środków jest stosowany)

5) Środki umożliwiające identyfikację i autoryzację użytkowników

(opisać w wykropkowanym miejscu, jeśli ten rodzaj środków jest stosowany)

6) Środki zapewniające ochronę danych w czasie ich przekazywania

(opisać w wykropkowanym miejscu, jeśli ten rodzaj środków jest stosowany)

7) Środki zapewniające ochronę danych w czasie ich przechowywania

(opisać w wykropkowanym miejscu, jeśli ten rodzaj środków jest stosowany)

8) Środki służące zapewnieniu bezpieczeństwa fizycznego miejsc, w których przetwarzane są dane osobowe

(opisać w wykropkowanym miejscu, jeśli ten rodzaj środków jest stosowany)

9) Środki umożliwiające rejestrowanie zdarzeń

(opisać w wykropkowanym miejscu, jeśli ten rodzaj środków jest stosowany)

10) Środki służące do konfiguracji systemu, w tym konfiguracji domyślnej

(opisać w wykropkowanym miejscu, jeśli ten rodzaj środków jest stosowany)

11) Środki dotyczące zarządzania wewnętrznym systemem IT i bezpieczeństwem IT

(opisać w wykropkowanym miejscu, jeśli ten rodzaj środków jest stosowany)

12) Środki dotyczące certyfikacji / zapewnienia jakości procesów i produktów

(opisać w wykropkowanym miejscu, jeśli ten rodzaj środków jest stosowany)

13) Środki zapewniające minimalizację danych

(opisać w wykropkowanym miejscu, jeśli ten rodzaj środków jest stosowany)

14) Środki zapewniające odpowiednią jakość danych

(opisać w wykropkowanym miejscu, jeśli ten rodzaj środków jest stosowany)

15) Środki zapewniające ograniczone zatrzymywanie danych

(opisać w wykropkowanym miejscu, jeśli ten rodzaj środków jest stosowany)

16) Środki zapewniające rozliczalność

(opisać w wykropkowanym miejscu, jeśli ten rodzaj środków jest stosowany)

17) Środki umożliwiające przenoszenie danych i zapewnienie ich usuwania

(opisać w wykropkowanym miejscu, jeśli ten rodzaj środków jest stosowany)

*UWAGA WYJAŚNIAJĄCA:

Środki techniczne i organizacyjne należy opisać szczegółowo, a nie w sposób ogólny. Podane zostały przykładowe rodzaje środków, można określić i wpisać inne ich rodzaje. W przypadku braku opisu do któregokolwiek z ww. punktów, należy ten punkt usunąć.