Załącznik nr 6
Załącznik nr 6
do Specyfikacji istotnych warunków konkursu ofert na świadczenia zdrowotne wszczętego Zarządzeniem Dyrekcji SZOZnMiD w Poznaniu nr DN – 021 – 3 – 16/19
Umowa powierzenia przetwarzania danych osobowych
zawarta w dniu w Poznaniu,
pomiędzy:
Specjalistycznym Zespołem Opieki Zdrowotnej nad Matką i Dzieckiem w Poznaniu, samodzielnym publicznym zakładem opieki zdrowotnej ul. B. Xxxxxxxxxxx 0/0, 00-000 Xxxxxx wpisanym do rejestru stowarzyszeń, innych organizacji społecznych i zawodowych, fundacji oraz samodzielnych publicznych zakładów opieki zdrowotnej prowadzonym przez Sąd Rejonowy Poznań - Nowe Miasto i Wilda w Poznaniu, VIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000003220 NIP 000-00 00-000 REGON 630863147
reprezentowanym przez: …………………………………………………
zwana dalej „Administratorem”
oraz
……………………………………………………………………………………………….
z siedzibą w …………………………., przy ul. ……………………………., , NIP ……………………………., REGON , wpisaną przez Sąd
Rejonowy - Rejestru Przedsiębiorców pod numerem ,
reprezentowaną przez: …………………………….
znaną dalej „Podmiotem przetwarzającym zwanym dalej Procesorem”
łącznie zwanymi „Stronami”, a każda odrębnie „Stroną”, zwana dalej „Umową”.
§ 1
Przedmiot i czas przetwarzania
1. Strony zawarły umowę …(numer umowy głównej)… z dnia , zwaną dalej „Umową Główną”. W celu jej realizacji niezbędne jest
powierzenie przetwarzania danych osobowych Procesorowi.
2. W ramach Umowy Administrator powierza Procesorowi z art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, czynności związane z przetwarzaniem dalej szczegółowo opisanych danych osobowych wyłącznie w celu realizacji Umowy Głównej.
3. Administrator oświadcza, że jest Administratorem danych osobowych, które powierza Procesorowi do przetwarzania.
4. Administrator powierza Procesorowi przetwarzanie danych osobowych wyłącznie w zakresie i celu określonym w niniejszej Umowie. Jakiekolwiek przetwarzanie danych osobowych, o których mowa w Umowie poza tym zakresem i celem będzie działaniem wbrew upoważnieniu Administratora.
§ 2
Charakter i cel przetwarzania danych
1. Administrator powierza Procesorowi przetwarzanie powierzonych danych osobowych wyłącznie w celu realizacji Umowy głównej.
2. Procesor będzie przetwarzał, powierzone na podstawie Umowy, następujące rodzaje danych osobowych: imię, nazwisko, ( w przypadku gdy pacjent jest osobą małoletnią, całkowicie ubezwłasnowolnioną lub niezdolną do świadomego wrażenia zgody – imię i nazwisko przedstawiciela ustawowego) , adres zamieszkania, numer PESEL (w przypadku noworodka – numer PESEL matki, w przypadku osób które nie maja nadanego numeru PESEL rodzaj i numer dokumentu potwierdzającego tożsamość) , data urodzenia, oznaczenie płci, oddział szpitalny, numer indentyfikacyjny pacjenta podawany przy braku innych danych, rozpoznanie ustalone przez osobę kierującą, inne informacje lub dane niezbędne do przeprowadzenia badania (konsultacji), tytuł zawodowy, uzyskane specjalizacje, numer prawa wykonywania zawodu.
3. Procesor będzie wykonywał na powierzonych danych następujące operacje przetwarzania: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, przesyłanie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
4. Powierzone dane osobowe dotyczą następujących kategorii osób:
-klienci końcowi Administratora
-osoby wskazane przez klienta Administratora do kontaktu w celu realizacji umowy,
-pracownicy Administratora,
5. Powierzone przez Administratora dane osobowe będą przetwarzane przez Procesora wyłącznie w zakresie i celu wskazanym w ust. 1-3 powyżej, w sposób zgodny z treścią Umowy i jedynie przez czas trwania Umowy, a w dalszej części Umowy będą określane jako
„Powierzone Dane”.
§ 3
Oświadczenia stron
1. Administrator oświadcza, że Powierzone Dane przetwarza zgodnie z obowiązującymi przepisami prawa.
2. Procesor oświadcza, że będzie przetwarzał Powierzone Dane wyłącznie na udokumentowane polecenie Administratora.
3. Procesor oświadcza, że dysponuje środkami technicznymi i organizacyjnymi umożliwiającymi prawidłowe przetwarzanie Powierzonych
Danych, w zakresie i celu przewidzianym w niniejszej Umowie.
4. Procesor oświadcza, że nie przekazuje Powierzonych Danych do państwa trzeciego ani do organizacji międzynarodowej i zobowiązuje się ich nie przekazywać przez cały okres trwania Umowy.
5. Procesor zobowiązuje się przed rozpoczęciem przetwarzania niezwłocznie poinformować Administratora jeżeli prawo Unii lub prawo państwa członkowskiego, któremu podlega nałoży na niego obowiązek prawny przekazania danych do państwa trzeciego lub do organizacji międzynarodowej, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
§ 4
Zobowiązanie do zachowania tajemnicy
1. Procesor zobowiązuje się do zachowania Powierzonych Danych w tajemnicy.
2. Procesor oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy Powierzonych Danych, nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania Powierzonych danych gwarantowały zabezpieczenie przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
4. Procesor, zgodnie z art. 28 ust. 3 lit. b RODO zobowiązuje się, iż osoby upoważnione do przetwarzania Powierzonych danych również zobowiążą się do zachowania tych danych w tajemnicy. Lista osób upoważnionych do przetwarzania Powierzonych Danych stanowi Załącznik nr 1 do Umowy. W każdym przypadku zmiany osób upoważnionych do ich przetwarzania Procesor zobowiązuje się niezwłocznie przekazać Administratorowi aktualną listę osób upoważnionych.
§ 5
Ocena skutków dla ochrony danych oraz konsultacje z organem nadzorczym
1. Procesor na żądanie Administratora pomaga mu w zapewnieniu przestrzegania obowiązków, które wynikają z dokonania oceny skutków
dla ochrony danych.
2. Jeżeli przetwarzanie powodowałoby wysokie ryzyko naruszenia praw lub wolności osób fizycznych Procesor pomaga Administratorowi realizować wytyczne w zakresie uprzednich konsultacji z organem nadzorczym (UODO).
§ 6
Środki zabezpieczające
1. Procesor oświadcza, że podejmie środki zabezpieczające, wymagane na mocy art. 32 RODO, zgodnie z art. 28 ust. 3 lit. c RODO. Procesor oświadcza, że uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia zastosowane środki techniczne i organizacyjne, są odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku przetwarzania Powierzonych Danych, tj.
2. a. prowadzi dokumentację opisującą sposób przetwarzania danych osobowych,
b. znajdujące się w jego posiadaniu urządzenia i systemy informatyczne służące do przetwarzania danych osobowych zabezpieczone są zgodnie z obowiązującymi dobrymi praktykami w zakresie ochrony infrastruktury i zasobów teleinformatycznych jak również, że zabezpieczenia te pozostają w zgodzie z wiążącymi przepisami prawa, w tym szczególności szyfruje Powierzone Dane,
c. stosuje odpowiednie środki techniczne i organizacyjne do zapewnienia przetwarzanym w ramach jego umowy danym ochrony, w szczególności zabezpiecza dane osobowe przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem RODO, zmianą, utratą, uszkodzeniem lub zniszczeniem.
3. Udokumentowanie realizacji powyższych działań może nastąpić poprzez:
a. stosowanie zatwierdzonych kodeksów postępowania z uwzględnieniem specyfiki sektora, o których mowa w art. 40 RODO;
b. uzyskanie certyfikacji na podstawie dopuszczonego postępowania certyfikującego zgodnego z art. 42 RODO.
§ 7
Prowadzenie rejestru czynności
1. Procesor zobowiązuje się prowadzić oddzielny rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora dla powierzonych danych w formie elektronicznej, który udostępnia Administratorowi na każde jego żądanie .
2. Procesor zobowiązuje się współpracować z organem nadzorczym i na jego żądanie udostępniać mu rejestr w celu monitorowania operacji przetwarzania na Powierzonych Danych.
§ 8
Współdziałanie w wykonywaniu praw osób, których dane dotyczą
1. Procesor wdroży odpowiednie środki techniczne i organizacyjne, aby móc wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO, w szczególności w zakresie zagwarantowania:
a. prawa do wglądu i sprostowania danych,
b. prawa do usunięcia danych,
c. prawa do ograniczenia przetwarzania,
d. prawa do sprzeciwu,
e. prawa do przenoszenia danych.
2. Procesor zobowiązuje się do przekazywania Administratorowi żądanych przez podmiot informacji/podejmowania określonych działań niezwłocznie, ale nie później niż w terminie 7 dni od dnia poinformowania Procesora przez Administratora o wystąpieniu z takim wnioskiem przez podmiot danych, a także zobowiązuje się współpracować z Administratorem w miarę możliwości w celu jego realizacji.
§ 9
Zarejestrowanie i zgłoszenie incydentu
1. Zgodnie z art. 28 ust. 3 lit. f RODO, Procesor uczestniczy w realizacji obowiązków Administratora, określonych w art. 32-36 RODO, a w szczególności niezwłocznie, nie później niż w ciągu 24 godzin informuje Inspektora Ochrony Danych lub osobę odpowiedzialną za ochronę danych u Administratora o jakichkolwiek przypadkach naruszenia ochrony danych osobowych tzw. incydentach wraz z:
a. opisem charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazaniem kategorii i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,
b. opisem możliwych konsekwencji naruszenia ochrony danych osobowych,
c. opisem zastosowanych lub proponowanych środków w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w
stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
2. W przypadku, gdy ustalenie wszelkich danych dotyczących incydentu będzie niemożliwe w terminie wskazanym w ust. 1 powyżej, Procesor będzie przekazywał informacje sukcesywnie, w miarę ich pozyskiwania.
3. Procesor prowadzi bieżącą dokumentację zawierająca opis naruszeń, o których mowa w ust. 1 powyżej. Na żądanie Administratora niezwłocznie, nie później niż w ciągu 24 godzin przekaże kopię prowadzonej dokumentacji.
4. Na żądanie Administratora Procesor zobowiązuje się udzielić wszelkich informacji dotyczących Przetwarzanych Danych w sytuacji, powzięcia informacji o wystąpieniu incydentu przez Administratora od osoby trzeciej niezwłocznie, nie później niż w ciągu 24 godzin.
§ 10
Szkolenia
Procesor zobowiązuje się zapoznać osoby upoważnione do przetwarzana danych osobowych z obowiązującymi przepisami prawa dotyczącymi ochrony danych osobowych.
§ 11
Kontrola zabezpieczeń
1. Procesor, zgodnie z art. 28 ust. 3 lit. h RODO, zobowiązuje się do udostępniania Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO, oraz umożliwia Administratorowi przeprowadzanie audytów, w tym inspekcji.
2. Administrator jest uprawniony do żądania udzielania informacji lub wyjaśnień w formie pisemnej, w postaci papierowej lub elektronicznej, dotyczących Powierzonych Danych. Procesor jest zobligowany udzielić wszelkich niezbędnych informacji dotyczących realizacji postanowień Umowy niezwłocznie, nie później niż w terminie 7 dni od dnia otrzymania żądania.
3. W przypadku wystąpienia zagrożeń mogących mieć wpływ na odpowiedzialność Administratora za przetwarzanie Powierzonych Danych Procesor zobowiązany jest niezwłocznie podjąć działania w celu ich usunięcia oraz natychmiast poinformować o nich Administratora. Procesor niezwłocznie informuje Administratora o wszelkich czynnościach, w szczególności kontrolnych i skargowych, prowadzonych przez organ nadzorczy z zakresu Powierzonych Danych.
4. Administrator zastrzega sobie prawo do kontroli zgodności przetwarzania Powierzonych Danych z niniejszą Umową. Administrator danych powiadomi Procesora o zamiarze przeprowadzenia przedmiotowej kontroli z wyprzedzeniem, nie krótszym niż 7 dni. Procesor zobowiązany jest umożliwić Administratorowi danych przeprowadzenie przedmiotowej kontroli, w szczególności poprzez udostępnienie systemów informatycznych, nośników, dokumentacji i pomieszczeń, w zakresie niezbędnym dla kontroli przetwarzania Powierzonych Danych.
5. W przypadku powzięcia przez Administratora wiadomości o rażącym naruszeniu zobowiązań wynikających z przepisów obowiązującego prawa lub Umowy a także incydencie, Procesor umożliwi Administratorowi przeprowadzenie niezapowiedzianej kontroli.
6. Procesor jest zobowiązany do zastosowania się do zaleceń pokontrolnych sformułowanych przez Administratora dotyczących
zabezpieczenia Powierzonych Danych w terminie wyznaczonym przez Administratora.
§ 12
Współdziałanie przy kontroli organu nadzorczego
1. Procesor zobowiązuje się współdziałać z Administratorem w przypadku wszczęcia przez organ nadzorczy postępowania kontrolnego u Administratora, o ile w zakresie kontroli będą również Powierzone Dane.
2. Na żądanie Administratora Procesor stawi się w wyznaczonym na przeprowadzenie kontroli miejscu i czasie.
§ 13
Podpowierzenie przetwarzania danych
1. Procesor może powierzyć przetwarzanie danych osobowych innemu podmiotowi przetwarzającemu („Podwykonawcy”), jeśli wynika to z zakresu Umowy Głównej, po uzyskaniu uprzedniej zgody Administratora na powierzenie Podwykonawcy dalszego przetwarzania
danych osobowych w określonym celu i zakresie, wyrażonej w formie pisemnej pod rygorem nieważności. W celu powierzenia przetwarzania danych osobowych przez Podwykonawcę, Procesor zobowiązany jest zawrzeć z Podwykonawcą pisemną umowę powierzenia przetwarzania danych osobowych o treści i zakresie jak najbardziej zbliżonym do niniejszej Umowy.
2. W przypadku skorzystania z usług Podwykonawcy, Procesor zobowiązany jest do zapewniania, iż Podwykonawca będzie przetwarzał dane osobowe wyłącznie w celu i zakresie opisanym w umowie zawartej przez Podwykonawcę z Procesorem, przy czym cel i zakres przetwarzania nie będzie szerszy niż wynikający z niniejszej Umowy oraz Podwykonawca zobowiązany będzie do zachowania wszelkich wymagań określonych w § 3 ust.3.
3. Procesor nie może korzystać z Podwykonawców w celu realizacji Umowy Głównej lub niniejszej Umowy w sytuacji, gdy dalsze powierzenie przetwarzania danych osobowych Podwykonawcy będzie wiązało się transferem danych osobowych poza EOG.
4. Administrator będzie mieć prawo bezpośredniego przeprowadzenia kontroli, w tym inspekcji przetwarzania danych osobowych przez
dalszy podmiot przetwarzający na takich samych zasadach jak przewidziane w § 13 Umowy.
5. Wszelkie umowy dalszego przetwarzania danych będą ulegały automatycznemu rozwiązaniu w razie zakończenia obowiązywania niniejszej Umowy, niezależnie od przyczyny. W przypadku uzyskania pisemnej zgody Administratora na dalsze powierzenie danych przez Procesora, Procesor ponosi pełną odpowiedzialność za powierzenie Podwykonawcom przetwarzania danych, będących przedmiotem Umowy, z naruszeniem obowiązujących przepisów prawa oraz za wszelkie szkody powstałe z powodu nienależytego przetwarzania danych przez tych Podwykonawców. Procesor odpowiada za działania i zaniechania Podwykonawców, jak za własne działania i zaniechania.
§ 14
Odpowiedzialność i prawo do odszkodowania
1. Procesor jest w pełni odpowiedzialny za udostępnienie lub wykorzystanie Powierzonych Danych niezgodnie z treścią Umowy, a w
szczególności za udostępnienie Powierzonych Danych osobom nieupoważnionym.
2. Procesor odpowiada za szkody spowodowane przetwarzaniem gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy podmiot działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom.
3. Administrator oraz Procesor odpowiadają w stosunku do osób zainteresowanych oraz w stosunku do siebie nawzajem w sposób opisany w art. 82 RODO.
4. W przypadku podniesienia jakichkolwiek roszczeń w rozumieniu art. 82 RODO wobec Administratora przez osobę zainteresowaną Procesor zobowiązuje się do wspierania Administratora przy obronie przed tymi roszczeniami, na ile będzie to możliwe.
5. W przypadku, w którym Administrator zostanie zobowiązany prawomocną decyzją lub prawomocnym wyrokiem właściwego sądu do zapłaty kary pieniężnej, odszkodowania, zadośćuczynienia lub jakiejkolwiek innej kwoty z tytułu naruszenia przepisów dotyczących ochrony danych osobowych lub w związku ze szkodą lub krzywdą wyrządzoną w związku z naruszeniem przepisów dotyczących ochrony danych osobowych, jeśli takie naruszenie lub szkoda (krzywda) wynikać będą z naruszenia przez Procesora lub jego Podwykonawcę postanowień Umowy, Procesor odpowiada względem Administratora w pełnej wysokości, niezależnie od jakichkolwiek ograniczeń odpowiedzialności przewidzianych w Umowie lub Umowie Głównej i zobowiązany jest zwrócić Administratorowi wszelkie koszty poniesione przez Administratora, w tym w szczególności zwrócić kwotę wypłaconego odszkodowania, zadośćuczynienia lub kary pieniężnej.
§ 15
Czas obowiązywania umowy
1. Umowa obowiązuje na czas obowiązywania Umowy Głównej.
2. Administrator może wypowiedzieć niniejszą Umowę ze skutkiem natychmiastowym w każdym czasie, w szczególności w sytuacji
nieprzestrzegania przez Procesora postanowień Umowy oraz obowiązujących przepisów prawa z zakresu ochrony danych osobowych.
3. Zobowiązanie do zachowania poufności nie wygasa po zakończeniu Umowy i jest nieograniczone w czasie. W przypadku gdyby powyższe zastrzeżenie okazało się nieważne lub bezskuteczne, zobowiązanie do zachowania poufności trwa przez okres 10 lat od dnia wygaśnięcia Umowy Głównej, niezależnie od przyczyny.
§ 16
Zakończenie przetwarzania danych
Po zakończeniu przetwarzania Powierzonych Danych zgodnie z niniejszą Umową, według wyboru Administratora, Procesor zobowiązuje się
w terminie 7 dni:
1. Zwrócić Powierzone Dane do siedziby Administratora na własny koszt, w sposób wskazany przez Administratora, albo
2. Trwale usunąć Powierzone Dane oraz niezwłocznie przedstawić dowód ich trwałego usunięcia Administratorowi,
3. Zaniechać ich przetwarzania we własnym zakresie, zgodnie z art. 28 ust. 3 lit. g RODO, chyba że prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający, nakładają obowiązek przechowywania tychże danych osobowych.
§ 17
Postanowienia końcowe
1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
2. Prawem właściwym dla Umowy jest prawo Rzeczpospolitej Polskiej.
3. Zmiany Umowy wymagają formy pisemnej pod rygorem nieważności.
4. Wszelkie spory wynikające z niniejszej Umowy lub powstające w związku z nią będą rozstrzygane przez Sąd Powszechny właściwy dla Administratora.
/Administrator/ | /Procesor/ |