Załącznik nr 9 do umowy Nr PN/…../18/…/… Porozumienie o powierzeniu przetwarzania danych osobowych
Załącznik nr 9 do umowy Nr PN/…../18/…/… Porozumienie o powierzeniu przetwarzania danych osobowych
(dalej: Porozumienie)
zawarte w dniu pomiędzy
Dolnośląskim Centrum Onkologii we Wrocławiu, 00-000 Xxxxxxx, xx. Xxxxxxxxxx 00, wpisanym do Krajowego Rejestru Sądowego, Sąd Rejonowy Wrocław Fabryczna VI Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem 0000133822, REGON 0000087868, NIP 000-00-00-000,
reprezentowanym przez ……………………….
zwany w dalej „Administratorem danych”
a
……………………………………………………... reprezentowanym przez
zwany w dalszej części umowy „Podmiotem przetwarzającym”
zwane dalej łącznie „Stronami”, a każda z osobna „Stroną”
§ 1
Przedmiot umowy, zakres i cel przetwarzania danych osobowych
1. W związku z zawarciem i realizacją umowy (dalej: Umowa) nr z
dnia …………………………, Administrator danych powierza Podmiotowi przetwarzającemu, w trybie art. 28 ust. 3 rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. U. UE. L. z 2016 r. Nr 119, str. 1) (zwanego w dalszej części „Rozporządzeniem”), czynności związane z prze- twarzaniem danych osobowych.
2. Celem powierzenia przetwarzania danych osobowych jest wyłącznie realizacja Umowy.
3. Zakres powierzonych Podmiotowi przetwarzającemu do przetwarzania danych osobowych jakie pod- miot przetwarzający musi przetwarzać w celu prawidłowej realizacji obowiązków wynikających z za- wartej Umowy jest ściśle związany z katalogiem danych osobowych przetwarzanym przez Administra- tora danych i może w szczególności obejmować: dane zwykłe, dane biometryczne, szczególne kate- gorie danych, w tym dane dotyczące stanu zdrowia odnośnie osób, których dotyczy realizacja Umowy.
4. Podmiot przetwarzający ma prawo wykonywać na powierzonych mu danych wyłącznie operacje prze- twarzania danych osobowych wynikające z czynności wskazanych w Umowie i wyłącznie w zakresie i czasie niezbędnym do realizacji obowiązków, wynikających z zawartej z Administratorem danych Umowy.
5. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone dane osobowe jedynie w celu i za- kresie określonym w niniejszym paragrafie.
§2
Obowiązki podmiotu przetwarzającego
1. Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewnia- jących adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem da- nych osobowych, o których mowa w art. 32 Rozporządzenia.
2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzo- nych danych osobowych.
3. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobo - wych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszego Poro- zumienia oraz umowy zawartej z Administratorem danych.
4. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, (o której mowa w art. 28 ust 3 pkt b Rozporządzenia) przetwarzanych danych przez osoby, które upoważnia do przetwarzania
danych osobowych w celu realizacji niniejszego Porozumienia, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.
5. Podmiot przetwarzający zobowiązuje się do prowadzenia ewidencji osób, które zostały przez niego upoważnione do przetwarzania danych osobowych.
6. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od woli Administratora - usuwa lub zwraca Administratorowi wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywa- nie danych osobowych.
7. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywią- zywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 Rozporządzenia.
8. Podmiot przetwarzający po stwierdzeniu podejrzenia naruszenia przepisów dot. ochrony danych oso- bowych bez zbędnej zwłoki zgłasza je Administratorowi nie później niż w ciągu 36 godzin na adres poczty elektronicznej: xxx@xxx.xxx.xx
§3
Prawo kontroli
1. Administrator danych zgodnie z art. 28 ust. 3 pkt h) Rozporządzenia ma prawo kontroli, czy środki za- stosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia Porozumienia oraz aktualnych przepisów dotyczących ochrony danych osobowych.
2. Administrator danych realizować będzie prawo kontroli w godzinach pracy Podmiotu przetwarzającego i z minimum 7 dniowym jego uprzedzeniem.
3. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w ter- minie wskazanym przez Administratora danych nie dłuższym niż 14 dni.
4. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia.
§4
Dalsze powierzenie danych do przetwarzania
1. Podmiot przetwarzający może powierzyć dane osobowe objęte niniejszym Porozumieniem do dalsze- go przetwarzania podwykonawcom jedynie w celu wykonania Umowy po uzyskaniu uprzedniej pisem- nej zgody Administratora danych.
2. Podmiot przetwarzający informuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym możliwość wyrażenia sprzeciwu wobec takich zmian.
3. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora danych chyba, że obowiązek taki nakłada na Podmiot przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora danych o tym obowiąz- ku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publicz- ny.
4. Podwykonawca, o którym mowa w §4 ust. 1 Porozumienia winien spełniać te same gwarancje i obo- wiązki jakie zostały nałożone na Podmiot przetwarzający w niniejszym Porozumieniu.
§5
Zasady zachowania poufności
1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora danych i od współpra- cujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadko- wy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy da- nych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Admi- nistratora danych w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
§ 6
Odpowiedzialność
1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Porozumienia, a w szczególności za udostępnienie powierzonych do przetwarza- nia danych osobowych osobom nieupoważnionym.
2. Podmiot przetwarzający zobowiązuje się niezwłocznie zawiadomić Administratora danych o:
a) każdym prawnie umocowanym żądaniu udostępnienia danych osobowych właściwemu organowi państwa, chyba, że zakaz zawiadomienia wynika z przepisów prawa, a szczególności przepisów postępowania karnego, gdy zakaz ma na celu zapewnienia poufności wszczętego dochodzenia,
b) każdym nieupoważnionym dostępie do danych osobowych,
c) każdym żądaniu otrzymanym od osoby, której dane przetwarza, powstrzymując się jednocześnie od odpowiedzi na żądanie.
3. Podmiot przetwarzający jest zobowiązany do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarza- nia powierzonych danych osobowych oraz o jakiejkolwiek decyzji administracyjnej lub orzeczeniu do- tyczących powierzonych na podstawie Porozumienia danych osobowych oraz planowanych kontrolach w zakresie ochrony danych osobowych.
§ 7
Czas obowiązywania
1. Porozumienie obowiązuje przez okres trwania Umowy.
2. W każdym wypadku Porozumienie przestaje wiązać Strony z dniem, z którym przestają być związane postanowieniami Umowy.
§ 8
Postanowienia końcowe
1. Porozumienie zastępuje dotychczasowe porozumienia w zakresie powierzenia danych osobowych w związku z realizacją Umowy, jeśli takie zostały zawarte przez Strony.
2. Administrator danych ma prawo rozwiązać niniejsze Porozumienie bez zachowania terminu wypo- wiedzenia, gdy Podmiot przetwarzający:
a) wykorzystał dane osobowe w sposób niezgodny z niniejszym Porozumieniem,
b) powierzył przetwarzanie danych osobowych podwykonawcom bez zgody Administratora danych,
c) nie zaprzestanie niewłaściwego przetwarzania danych osobowych,
d) zawiadomi o swojej niezdolności do dalszego wykonywania niniejszego Porozumienia
3. Rozwiązanie niniejszego Porozumienia przez Administratora danych jest równoznaczne z wypowiedzeniem Umowy.
4. Porozumienie sporządzono w dwóch jednobrzmiących egzemplarzach.
5. Ewentualne spory pomiędzy Stronami rozstrzygać będzie sąd właściwy dla Administratora danych.
6. W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego oraz Rozporzą- dzenia i Ustawy krajowej wydanej na podstawie Rozporządzenia.