Umowa powierzenia przetwarzania danych osobowych do UMOWY nr ………………. z dnia ……………. roku



Umowa powierzenia przetwarzania danych osobowych do

UMOWY nr ………………. z dnia ……………. roku



zawarta w Krakowie w dniu ……………….roku pomiędzy:

5 Wojskowym Szpitalem Klinicznym z Polikliniką Samodzielnym Publicznym Zakładem Opieki Zdrowotnej w Krakowie 00-000 Xxxxxx, xx. Wrocławska 1-3 (KRS: 0000032272, REGON: 351506868, NIP 000-00-00-000), (zwanym dalej ,,Administratorem danych”), reprezentowanym przez ……………………………………………………….


a

………………………. (zwanym dalej ,,Procesorem”), reprezentowaną przez …………………………


Zwanymi dalej łącznie „Stronami”


Celem zagwarantowania, iż dane osobowe są przetwarzane na zasadach jakie w zakresie ochrony danych wprowadza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwane dalej „RODO”),

Strony oświadczają, iż:


[Definicje]

  1. Umowa” – niniejsza umowa powierzenia przetwarzania danych osobowych;



  1. Umowa główna” – umowa nr …………… z dnia ……….. roku



  1. dane osobowe” - oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;



  1. przetwarzanie” - oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;



  1. administrator danych osobowych” – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;



  1. procesor” - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora danych osobowych.


§ 1

Przedmiot


  1. W związku z realizacją łączącej Strony umowy nr ……………. z dnia ……………… roku Administrator danych powierza Procesorowi przetwarzanie danych osobowych w celu i na zasadach określonych w Umowie, a Procesor na powyższe wyraża zgodę.

  2. Umowa stanowi konsekwencję i uzupełnienie Umowy głównej.

  3. Powierzone dane zawierają dane osobowe Pacjentów oraz dane osobowe Personelu w celu i zakresie niezbędnym do realizacji postanowień Umowy, w szczególności w zakresie dostępu, przechowywania i opracowywania danych dla celów związanych z wykonywaniem działalności leczniczej.

  4. Strony zgodnie postanawiają, że od dnia 25 maja 2018 r. powierzenie przetwarzania danych osobowych oraz przetwarzanie tych danych realizowane będzie zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwane dalej „RODO”) jak i regulacjami prawa krajowego oraz innymi przepisami prawa powszechnie obowiązującego w zakresie ochrony danych osobowych.


§ 2

Czas trwania


  1. Umowa obowiązuje przez czas obowiązywania Umowy głównej.

  2. Z zastrzeżeniem § 6 Umowy wypowiedzenie/odstąpienie/rozwiązanie Umowy uważa się za bezskuteczne, o ile Umowa główna obowiązuje.


§ 3

Cel i zakres przetwarzania


  1. Powierzone przez Administratora danych dane osobowe będą przetwarzane przez Procesora wyłącznie w celu wykonywania usług opisanych w Umowie głównej i w sposób zgodny z Umową.

  2. Procesor w ramach realizacji obowiązków wynikających z Umowy może przetwarzać dane osobowe tylko w sposób i w zakresie niezbędnym do należytego wykonania przedmiotu Umowy głównej.

  3. Na podstawie Umowy Administrator danych powierza Procesorowi przetwarzanie kategorii danych osobowych wskazanych w załączniku nr 1 do Umowy. Zmiany w zakresie kategorii danych osobowych w stosunku do wymienionych w załączniku nr 1 do Umowy nie wymagają aneksu do Umowy, a wyłącznie aktualizacji załącznika nr 1 dokonanej w formie pisemnej lub drogą elektronicznej na adres email wskazany w § 9 Umowy.


§ 4

Charakter i sposób przetwarzania


  1. Przetwarzanie danych osobowych, objętych Umową, odnosi się do danych osobowych niezależnie od ich formy zapisu, w szczególności przy wykorzystaniu systemów informatycznych i zapisu cyfrowego.

  2. Przetwarzanie danych osobowych, obejmuje w szczególności wykonywanie takich operacji jak: pobieranie, przesyłanie, utrwalanie, przeglądanie, archiwizowanie i usuwanie danych osobowych.

  3. Administrator danych zapewnia, iż przetwarza dane osobowe, które powierza Procesorowi zgodnie z mającymi zastosowanie przepisami prawa w zakresie ochrony danych osobowych, w tym RODO.

  4. Administrator danych jest wyłącznie odpowiedzialny za zgodność z prawem, adekwatność i prawidłowość powierzonych do przetwarzania w oparciu o Umowę danych osobowych jak i podstaw ich pozyskania.

  5. Procesor zobowiązuje się, przy przetwarzaniu danych osobowych, do ich zabezpieczenia poprzez podjęcie odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 28 RODO, w tym w szczególności zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem prawa oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

  6. Zdalny dostęp pracowników Procesora do danych osobowych możliwy będzie wyłącznie zgodnie z poleceniem Administratora danych lub po uprzednim mailowym poinformowaniu Administratora danych na adres email wskazany w § 9 i uzyskaniu w tej samej formie zgody na taki dostęp.

  7. Procesor zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z Umową oraz z innymi przepisami prawa powszechnie obowiązującego, w tym RODO, a w szczególności Procesor:

  1. nie przetwarza danych osobowych bez wyraźnego i pisemnego polecenia Administratora danych. Przetwarzanie w zakresie i na zasadach określonych w Umowie Strony uznają za wykonane na podstawie pisemnego polecenia;

  2. oświadcza, iż osoby przetwarzające dane osobowe objęte Umową działają na podstawie pisemnych upoważnień do przetwarzania danych osobowych oraz że prowadzi i na bieżąco aktualizuje ewidencję upoważnień.

  3. ma wdrożone procedury związane ze zgłoszeniem naruszeń danych osobowych określone w art. 32 RODO;

  4. prowadzi dokumentację opisującą sposób przetwarzania danych osobowych w formie rejestru czynności przetwarzania;

  5. udostępni Administratorowi danych wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 ust. 3 lit. h RODO;

  6. zobowiązuje się współpracować z Administratorem danych celem zadośćuczynienia prawom osób, których dane dotyczą, a określonych w rozdziale III RODO.

  7. zgodnie z żądaniem Administratora danych po zakończeniu Umowy usuwa lub zwraca mu dane osobowe, usuwa wszelkie ich istniejące kopie, chyba że przepisy prawa powszechnie obowiązującego nakazują przechowywanie danych osobowych.

  8. umożliwia Administratorowi danych przeprowadzanie audytów, inspekcji i kontroli w zakresie prawidłowości przetwarzania danych osobowych.

  9. niezwłocznie informuje Administratora danych, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów powszechnie obowiązujących o ochronie danych.

  1. W przypadku zmiany przepisów dotyczących ochrony danych osobowych, w trakcie trwania Umowy Procesor zobowiązuje się do dostosowania zasad przetwarzania danych osobowych, do obowiązujących przepisów.


§ 5

Podpowierzenie danych osobowych


  1. Administrator danych wyraża zgodę na podpowierzenie przez Procesora danych osobowych objętych Umową dalszym procesorom.

  2. Aktualna lista dalszych procesorów znajduje się w załączniku nr 2 do Umowy.

  3. Procesor ma obowiązek każdorazowo informować Administratora danych o zmianie dalszych procesorów, ze wskazaniem ich nazwy oraz siedziby, a także celu i charakteru podpowierzenia. O ile Administrator danych nie wyrazi sprzeciwu wobec podpowierzenia w terminie 7 dni od daty doręczenia informacji o zamiarze podpowierzenia danych osobowych nowemu dalszemu procesorowi w formie pisemnej lub drogą elektroniczną na adres email podany w § 9 Umowy, Procesor będzie uprawniony do dokonania podpowierzenia. W razie skutecznego złożenia przez Administratora danych sprzeciwu, Procesor nie jest uprawniony do korzystania z dalszego procesora w ramach wykonywania Umowy.

  4. Procesor oświadcza iż zapewnia w umowach z innymi podmiotami przetwarzającymi tożsame gwarancje i standardy jakie wynikają z Umowy, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odpowiadało wymogom RODO.



§ 6

Odpowiedzialność Procesora


1. Procesor jest odpowiedzialny za niezgodne z Umową lub powszechnie obowiązującymi przepisami prawa w zakresie ochrony danych osobowych udostępnienie lub wykorzystanie danych osobowych.

  1. W przypadku naruszenia przez Procesora powszechnie obowiązujących przepisów prawa lub postanowień Umowy w zakresie ochrony danych osobowych, na skutek których Administrator danych zostanie zobowiązany do wypłaty odszkodowania lub zostanie ukarany karą grzywny albo jakąkolwiek inną karą prawem przewidzianą, Procesor zobowiązuje się do naprawienia powstałej w wyniku tych naruszeń szkody.


§ 7

Rozwiązanie Umowy


  1. Administrator danych ma prawo rozwiązać Umowę bez zachowania terminu wypowiedzenia, gdy:

  1. Procesor wykorzystał dane osobowe w sposób niezgodny z Umową,

  2. Procesor powierzył przetwarzanie danych osobowych innym podmiotom z naruszeniem postanowień zawartych w § 5 Umowy.

  1. Rozwiązanie Umowy przez Administratora danych w przypadkach określonych w § 6 ust. 1 skutkuje rozwiązaniem Umowy głównej bez zachowania terminu wypowiedzenia.




§ 8

Poufność


1. Strony są obowiązane do zachowania tajemnicy i poufności w stosunku i w związku z informacjami wynikającymi jak i powstałymi w ramach wykonywania Umowy.

2. Procesor zapewnia, iż osoby upoważnione do przetwarzania danych osobowych są zobowiązane do zachowania tajemnicy lub podlegają jej zachowaniu na podstawie ustawowego obowiązku.


§ 9

Postanowienia końcowe


  1. Do bezpośrednich kontaktów w sprawie realizacji Umowy upoważnieni są:

Ze strony Administratora danych:

…………………….

Ze strony Procesora:

………………………………………………………………………………………………

2. Do bezpośrednich kontaktów w sprawie ochrony danych osobowych objętych Umową upoważnieni są:

Ze strony Administratora danych:

……………….

Ze strony Procesora:

……………………………………………………………………………………………….

  1. Wszelkie zmiany Umowy wymagają formy pisemnej pod rygorem nieważności, z zastrzeżeniem postanowienia § 3 ust. 3 Umowy.

  2. W sprawach nieuregulowanych w Umowie mają zastosowanie przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

  3. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.




........................................... .........................................

Administrator danych Procesor







Kontrasygnuje

Główny Księgowy

.....................................……


Załącznik nr 1

do Umowy powierzenia przetwarzania danych osobowych związanej z realizacją

UMOWY nr ………………… z dnia ……………. roku


Procesor będzie przetwarzał , powierzone na podstawie niniejszej umowy , następujące kategorie danych osobowych:


  1. dane osobowe Pacjentów Administratora danych (dalej: Dane Osobowe Pacjentów) w zakresie takich danych, jak:

  1. nazwisko i imię (xxxxxx),

  2. datę urodzenia,

  3. oznaczenie płci,

  4. adres miejsca zamieszkania/oddział szpitalny/poradnia szpitalna,

  5. numer PESEL, jeżeli został nadany, w przypadku noworodka - numer PESEL matki, a w przypadku osób, które nie mają nadanego numeru PESEL - rodzaj i numer dokumentu potwierdzającego tożsamość,

  6. w przypadku gdy pacjentem jest osoba małoletnia, całkowicie ubezwłasnowolniona lub niezdolna do świadomego wyrażenia zgody - nazwisko i imię (imiona) przedstawiciela ustawowego oraz adres jego miejsca zamieszkania,

  7. numer identyfikacyjny pacjenta podawany przy braku innych danych,

  8. rozpoznanie ustalone przez osobę kierującą,

  9. inne informacje lub dane, w zakresie niezbędnym do przeprowadzenia badania, konsultacji lub leczenia,

  10. dane osobowe Personelu Podmiotu Leczniczego, upoważnionego do wykonania zadań związanych z realizacją Umowy (dalej: Xxxx Xxxxxxx Personelu), tj.: dane osobowe lekarzy lub innych osób uprawnionych po stronie Podmiotu Leczniczego na podstawie Umowy do zlecania badania (imię i nazwisko lekarza kierującego, tytuł zawodowy, uzyskane specjalizacje, numer prawa wykonywania zawodu), dane osób pobierających materiał do badań (imię i nazwisko, tytuł zawodowy, numer prawa wykonywania zawodu), lekarzy i innych osób uprawnionych przez Xxxxxxx Xxxxxxxxx do dostępu do wyników badań (imię i nazwisko, tytuł zawodowy, numer prawa wykonywania zawodu (jeśli dotyczy).






8 z 8


Document Metadata

Filed: August 2nd, 2024