UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Załącznik nr 3 do Umowy współpracy
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w dniu w
pomiędzy:
Xxxxxxxxxx Xxxxxxxxxxxxxx- Xxxxx, Xxx Xxxxxxxxx, Xxxxxxxxxx Xxxxxxxx działającymi pod firmą AWEMED S.C. A. XXXXXXXXXXXXXX - XXXXX, X. XXXXXXXXX, X. XXXXXXXX
Niepubliczny Zakład Opieki Zdrowotnej ul. Piasta 30, 05-822 Milanówek, NIP: 5291613683, REGON: 016328892,
reprezentowanym przez
1. –
2. –
zwanym dalej Administratorem
a
Fundacją Medicover z siedzibą w Warszawie przy Al. Xxxxxxxxxxxxxx 00, 00-000 Xxxxxxxx, wpisaną do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla x.xx. Warszawy w Warszawie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS 0000283132, o numerze NIP: 000-000-00-00, REGON: 141041892;
reprezentowaną przez
1. Xxxxxxx Xxxxxxxxxx - Prezesa Zarządu Fundacji Medicover, zwaną dalej Przetwarzającym,
mogą być dalej również zwani jako Strona, a łącznie jako Strony.
1. DEFINICJE
Dla potrzeb niniejszej umowy, Administrator i Przetwarzający ustalają następujące znaczenie niżej wymienionych pojęć:
1) Xxxx Xxxxxxx – dane w rozumieniu art. 4 pkt 1) Rozporządzenia 2016/679, tj. wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
2) Przetwarzanie Danych Osobowych – wszelkie operacje lub zestawy operacji wykonywanych na Danych Osobowych lub zestawach Danych Osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie,
organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie,
rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie w rozumieniu art. 4 pkt 2) Rozporządzenia 2016/679;
3) System – Elektroniczny System Medycyny Szkolnej;
4) Umowa – niniejsza umowa;
5) Umowy Główne – umowa o współpracy zawarta między Przetwarzającym a Gminą Milanówek z dnia , na podstawie której Przetwarzający udostępnia System oraz
porozumienie wykonawcze zawarte przez Administratora z Gminą Milanówek, o którym mowa w § 2 ust. 6 umowy współpracy;
6) Rozporządzenie 2016/679 - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1).
2. OŚWIADCZENIA STRON
Strony oświadczają, co następuje:
1) Strony oświadczają, że niniejsza Umowa została zawarta w celu wykonania obowiązków, o których mowa w art. 28 Rozporządzenia 2016/679 w związku z zawarciem Umów Głównych.
2) Administrator oświadcza, iż jest administratorem Xxxxxx Xxxxxxxxx w rozumieniu art. 4 pkt 7) Rozporządzenia 2016/679, tj. podmiotem, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania Danych Osobowych.
3) Przetwarzający oświadcza, że jest podmiotem przetwarzającym w rozumieniu art. 4 pkt 8) Rozporządzenia 2016/679 w ramach Umowy, co oznacza, że będzie
przetwarzał Xxxx Xxxxxxx w imieniu Administratora.
3. PRZEDMIOT I CZAS TRWANIA PRZETWARZANIA
3.1. Administrator powierza Przetwarzającemu do przetwarzania Dane Osobowe, a
Przetwarzający zobowiązuje się do ich przetwarzania zgodnego z prawem i niniejszą Umową.
3.2. Umowa zostaje zawarta na czas obowiązywania Umów Głównych oraz wykonania wszystkich zobowiązań wynikających z niniejszej Umowy.
4. CEL I PODSTAWOWE ZASADY PRZETWARZANIA
4.1. Przetwarzający może przetwarzać Dane Osobowe wyłącznie w zakresie i celu przewidzianym w Umowie.
4.2. Celem powierzenia przetwarzania Danych Osobowych jest umożliwienie
Przetwarzającemu prowadzenia asysty technicznej w ramach korzystania przez Administratora z Systemu oraz przechowywanie danych. Charakter powierzonego przetwarzania Danych Osobowych stanowią operacje lub zestawy operacji tj. dostęp, wprowadzanie Danych Osobowych do Systemu, przeglądanie, opracowywanie, archiwizacja, usuwanie.
4.3. Zakres Danych Osobowych przetwarzanych przez Przetwarzającego na podstawie niniejszej Umowy obejmuje Xxxx Xxxxxxx wprowadzone do Systemu oraz przetwarzane przez Administratora w związku z prowadzeniem profilaktycznej opieki zdrowotnej nad uczniami: imię nazwisko, XXXXX, data urodzenia, płeć, adres zamieszkania uczniów szkół podstawowych oraz imię, nazwisko, nr telefonu, adres
email rodziców/opiekunów. Rodzaj Danych Osobowych przetwarzanych na podstawie niniejszej Umowy stanowi także szczególne kategorie danych osobowych (dane o stanie zdrowia), o których mowa w art. 9 ust. 1 Rozporządzenia 2016/679.
4.4. Dane Osobowe przetwarzane przez Przetwarzającego na podstawie niniejszej Umowy dotyczą uczniów szkół podstawowych oraz rodziców/opiekunów uczniów, biorących udział w badaniach realizowanych w ramach procedury bilansu zdrowia oraz w tzw. pomiarach antropometrycznych.
4.5. Przetwarzający przetwarza Dane Osobowe wyłącznie na udokumentowane polecenie Administratora, przy czym za takie udokumentowane polecenia uważa się polecenia przekazywane drogą elektroniczną na adres xxxxxxxx.xxxxxxxxxxxx@xxxxxxxxx.xx lub na piśmie.
4.6. Przy przetwarzaniu Danych Osobowych, Przetwarzający powinien przestrzegać zasad wskazanych w niniejszej Umowie oraz w Rozporządzeniu 2016/679.
5. SZCZEGÓŁOWE ZASADY POWIERZENIA PRZETWARZANIA
5.1. Przed rozpoczęciem Przetwarzania danych osobowych Przetwarzający podejmuje środki zabezpieczające Dane Osobowe, o których mowa w art. 32 RODO, a w
szczególności uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia,
obowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych Danych Osobowych, aby zapewnić stopień bezpieczeństwa
odpowiadający temu ryzyku.
5.2. Przetwarzający zapewnia, aby:
a) każda osoba fizyczna działająca z upoważnienia Przetwarzającego, która ma dostęp do Danych Osobowych, przetwarzała je wyłącznie w celach i zakresie przewidzianym w Umowie,
b) osoby mające dostęp do przetwarzania Danych Osobowych zachowały je oraz sposoby zabezpieczeń w tajemnicy, przy czym obowiązek zachowania tajemnicy istnieje również po realizacji Umowy oraz ustaniu zatrudnienia u
Przetwarzającego. W tym celu Przetwarzający dopuści do przetwarzania danych tylko osoby, które podpisały zobowiązanie do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia.
6. DALSZE OBOWIĄZKI PRZETWARZAJĄCEGO
6.1. Przetwarzający zobowiązuje się pomagać Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32-36 Rozporządzenia 2016/679; w szczególności,
Przetwarzający zobowiązuje się przekazywać Administratorowi informacje oraz
wykonywać jego polecenia dotyczące stosowanych środków zabezpieczania Danych Osobowych oraz Przetwarzający zobowiązuje się przekazywać Administratorowi
informacje dotyczące przypadków naruszenia ochrony Danych Osobowych w ciągu 72 godzin od wykrycia zdarzenia stanowiącego naruszenie ochrony danych osobowych.
6.2. Przetwarzający zobowiązuje się pomagać Administratorowi poprzez odpowiednie środki techniczne i organizacyjne, w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w art. 15-22 Rozporządzenia 2016/679.
6.3. Przetwarzający zobowiązuje się stosować się do ewentualnych wskazówek lub zaleceń, wydanych przez organ nadzoru lub unijny organ doradczy zajmujący się ochroną danych osobowych, dotyczących przetwarzania danych osobowych, w szczególności w zakresie stosowania Rozporządzenia 2016/679.
6.4. Przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym,
dotyczącym Przetwarzania powierzonych w ramach niniejszej Umowy Danych Osobowych przez Przetwarzającego, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym Przetwarzania powierzonych Danych Osobowych,
skierowanej do Przetwarzającego, a także o wszelkich kontrolach i inspekcjach dotyczących Przetwarzania powierzonych Danych Osobowych przez
Przetwarzającego, w szczególności prowadzonych przez organ nadzorczy.
7. PODPOWIERZENIE PRZETWARZANIA
7.1. Przetwarzający może korzystać z usług innego podmiotu przetwarzającego (subprocesora) pod warunkiem zweryfikowania zastosowania przez ten podmiot odpowiedniego poziomu ochrony Danych Osobowych określonego przez
Przetwarzającego.
8. AUDYT PRZETWARZAJĄCEGO
8.1. Administrator jest uprawniony do weryfikacji przestrzegania zasad przetwarzania Danych Osobowych wynikających Rozporządzenia 2016/679 oraz niniejszej Umowy przez Przetwarzającego, poprzez prawo żądania udzielenia wszelkich informacji dotyczących powierzonych Danych Osobowych oraz prawo przeprowadzania
audytów lub inspekcji.
8.2. Przetwarzający zobowiązuje się niezwłocznie informować Administratora, jeżeli zdaniem Przetwarzającego wydane jemu polecenie stanowi naruszenie
Rozporządzenia 2016/679 lub innych przepisów o ochronie danych.
9. ZAKOŃCZENIE POWIERZENIA PRZETWARZANIA
9.1. Po zakończeniu świadczenia usług związanych z przetwarzaniem Przetwarzający zależnie od decyzji Administratora usuwa lub zwraca mu wszelkie Xxxx Xxxxxxx oraz usuwa wszelkie ich istniejące kopie.
10. SYSTEM
10.1 Administrator potwierdza, iż został poinformowany, iż jedynym podmiotem
mogącym udzielić informacji technicznych, technologicznych i organizacyjnych
związanych z wdrożeniem i funkcjonowaniem Systemu jest Przetwarzający (Fundacja Medicover, jako właściciel Systemu).
10.2 Administrator zobowiązuje się do zachowania w tajemnicy informacji technicznych, technologicznych i organizacyjnych związanych z wdrożeniem i funkcjonowaniem Systemu, uzyskanych w związku z korzystaniem z Systemu na podstawie Umowy
Głównej i do nieujawniania ich osobom trzecim, z wyjątkiem swoich pracowników oraz współpracowników, ale tylko w związku z wykonywaniem Umowy Głównej i
tylko w niezbędnym zakresie, a także pod warunkiem uprzedniego zobowiązania tych osób do zachowania w tajemnicy tych informacji.
10.3 Administrator nie będzie zobowiązany do zachowania w tajemnicy informacji, która:
1) została podana do wiadomości publicznej w sposób inny niż naruszenie postanowień pkt. 10.1 lub 10.2 powyżej,
2) jest znana Administratorowi z innych źródeł bez obowiązku utrzymania jej w tajemnicy,
3) może być ujawniona, ponieważ Przetwarzający zgodził się na jej ujawnienie,
4) ma zostać ujawniona na żądanie uprawnionych organów zgodnie z
obowiązującymi przepisami z zastrzeżeniem, że w takim przypadku Administrator zawiadomi o tym uprzednio Przetwarzającego ze wskazaniem uprawnionego organu, wskazanej przez organ podstawy prawnej i zakresu żądania oraz przekaże Przetwarzającemu treść odpowiedzi udzielonej uprawnionemu organowi.
10.4 Przez „informacje poufne” rozumie się wszelkie informacje uzyskane o Systemie przez Administratora w związku z realizacją Umowy Głównej, niedostępne przy
wykorzystaniu dopuszczalnych przez prawo powszechnych źródeł informacji.
10.5 Informacje poufne mogą być przekazywane osobom trzecim innym niż wskazane w pkt. 10.2 powyżej wyłącznie za pisemną zgodą Przetwarzającego.
11. POSTANOWIENIA KOŃCOWE
11.1. Wszelkie zmiany niniejszej Umowy wymagają formy pisemnej pod rygorem nieważności.
11.2. W sprawach nieuregulowanych niniejszą Umową mają zastosowanie przepisy Ustawa z dnia 23 kwietnia 1964 r. Kodeks cywilny. (x.x. Xx. U. z 2020 r. poz. 1740 z późn. zm.), oraz przepisy Rozporządzenia 2016/679.
11.3. Spory związane z wykonywaniem niniejszej Umowy rozstrzygane będą przez sąd właściwy dla siedziby Przetwarzającego.
11.4. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
W imieniu Administratora W imieniu Przetwarzającego