Załącznik nr 9 do SWKO


Załącznik nr 9 do SWKO

Porozumienie

o powierzeniu przetwarzania danych osobowych (dalej: Porozumienie) (Wzór)


zawarte w dniu ………... 2019 r. w Prudniku pomiędzy:

Prudnickim Centrum Medycznym Spółka Akcyjna w Prudniku, xx. Xxxxxxxxx 00 00-000 Xxxxxxx wpisaną pod nr 0000215463 KRS prowadzonego przez Sąd Rejonowy w Opolu VIII Wydział KRS, posiadającym NIP: 755 18 39 682, REGON: 532 448 467, wysokość kapitału zakładowego 10 104 050,00 zł, opłacony w całości.

reprezentowanym przez:

Xxxxxxxx Xxxxxxxx – Prezesa Zarządu

zwanym w dalszej części Porozumienia „Administratorem”

a

………………………………………………………………………………………

reprezentowanym przez:

…………………………………………………………………………………..

zwanym w dalszej części Porozumienia „Przetwarzającym”


Mając na uwadze, że

  1. Strony zawarły umowę nr …………………… z dnia ………………………….. 2019 r. (zwaną dalej „Umowa Podstawowa”), w związku z wykonywaniem której Administrator powierza Przetwarzającemu przetwarzanie Danych Osobowych (zwanych dalej także „Danymi”) w zakresie określonym Umową,

  2. Celem niniejszego Porozumienie jest ustalenie warunków na jakich Przetwarzający wykonuje operacje przetwarzania Danych w imieniu Administratora,

  3. Strony zawierając Porozumienie dążą do takiego uregulowania zasad przetwarzania Danych, aby odpowiadały one w pełni postanowieniom Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1) – zwane dalej „RODO”.

Xxxxxx postanowiły zawrzeć Porozumienie o następującej treści:


§ 1

Powierzenie przetwarzania danych osobowych

  1. Administrator oświadcza, że jest Administratorem Danych oraz, że jest uprawniony do ich przetwarzania a zakresie, w jakim powierza przetwarzanie Przetwarzającemu.

  2. Przetwarzający oświadcza, że w ramach prowadzonej działalności gospodarczej zajmuje się przetwarzaniem Danych Osobowych objętych Porozumieniem i Umową Podstawową w sposób zgodny z przepisami RODO i polskimi przepisami z zakresu ochrony danych osobowych, posiada w tym zakresie niezbędną wiedzę, stosuje odpowiednie środki techniczne i organizacyjne ochrony Danych Osobowych oraz daję rękojmię należytego wykonania Porozumienia.

  3. Strony zgodnie oświadczają, że wszelkie przetwarzanie Danych wykraczające poza zakres Porozumienia stanowi samodzielne działanie Przetwarzającego jako Administratora Danych Osobowych.

  4. Na warunkach określonych niniejszym Porozumieniem oraz Umową Podstawową Administrator powierza Przetwarzającemu dane osobowe Pacjentów na rzecz których wykonywana są świadczenia objęte Umową, (dalej: Dane Osobowe Pacjentów) w zakresie takich danych, jak:

  1. nazwisko i imię (xxxxxx),

  2. datę urodzenia,

  3. oznaczenie płci,

  4. adres miejsca zamieszkania/oddział szpitalny,

  5. numer PESEL, jeżeli został nadany, w przypadku noworodka - numer PESEL matki, a w przypadku osób, które nie mają nadanego numeru PESEL - rodzaj i numer dokumentu potwierdzającego tożsamość,

  6. w przypadku gdy pacjentem jest osoba małoletnia, całkowicie ubezwłasnowolniona lub niezdolna do świadomego wyrażenia zgody - nazwisko i imię (imiona) przedstawiciela ustawowego oraz adres jego miejsca zamieszkania,

  7. informacje lub dane, w zakresie niezbędnym do przeprowadzenia badania, konsultacji lub leczenia,

  8. dane dotyczące stanu zdrowia.

  1. Zakres danych osobowych wymienionych w ust. 1 jest maksymalnym katalogiem danych, które mogą być przetwarzane w związku z realizacją Umowy. W rzeczywistości dane mogą być przekazywane Przetwarzającemu w węższym zakresie bez uszczerbku dla postanowień Porozumienia. Zakres danych może ulec zmianie w przypadku zmiany aktualnie obowiązujących przepisów prawa.


§ 2

Zakres i cel przetwarzania danych

  1. Administrator upoważnia Przetwarzającego do przetwarzania w jego imieniu Danych Osobowych Pacjentów w celu i zakresie niezbędnym do realizacji postanowień Umowy Podstawowej w szczególności w zakresie dostępu, przechowywania i opracowywania danych.

  2. Charakter przetwarzania określony jest rolą Przetwarzającego wynikającą z realizacji Umowy Podstawowej zawartej pomiędzy Stronami o której mowa w pkt. 1 Umowy.


§ 3

Obowiązki Podmiotu Przetwarzającego

Nienależnie od innych obowiązków wynikających z Porozumienia, Przetwarzający zobowiązuje się do:

  1. przetwarzania Danych wyłącznie na udokumentowane polecenie lub zgodnie z instrukcjami Administratora,

  2. ograniczenia dostępu do Danych wyłącznie do osób, których dostęp do Danych jest niezbędny do realizacji Porozumienia i Umowy Podstawowej,

  3. zapewnienia, aby osoby upoważnione do przetwarzania Danych zobowiązały się pisemne do zachowania tajemnicy (poufności) lub by podlegały ustawowemu obowiązkowi zachowania tajemnicy (poufności). Tajemnica ta obejmuje również wszelkie warunki Umowy oraz informacje uzyskane w związku z wykonywaniem Porozumienie, w tym bezwzględny zakaz wykorzystywania tych informacji/ Danych w celu innym aniżeli związanym z realizacją Porozumienia i Umowy Podstawowej lub zamiarem zawarcia Umowy z Podpowierzającym zgodnie z § 5 Umowy,

  4. zapewnienia osobom upoważnionym do przetwarzania Danych odpowiednich szkoleń z zakresu ochrony Danych Osobowych,

  5. współpracowania z Administratorem przy wykonywaniu obowiązków z obszaru ochrony Danych Osobowych, o których mowa w art. 32−36 RODO (ochrona danych, zgłaszanie naruszeń organowi nadzorczemu, zawiadamianie osób dotkniętych naruszeniem ochrony danych, ocena skutków dla ochrony danych i uprzednie konsultacje z organem nadzorczym),

  6. prowadzenia dokumentacji opisującej sposób przetwarzania Danych, w tym Rejestru Czynności Przetwarzania Danych Osobowych zgodnie z art. 30 RODO,

  7. udostępniania na żądanie Administratora prowadzonego Rejestru Czynności Przetwarzania Danych Przetwarzającego, z wyłączeniem informacji stanowiących tajemnicę handlową innych klientów Przetwarzającego,

  8. zapewnienia obsługi praw jednostki w odniesieniu do powierzonych Danych, w tym odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO (tzw. „Prawa jednostki”),

  9. zastosowania się do wymogu projektowania prywatności, o którym mowa w art. 25 ust. 1 RODO, planując dokonanie zmian w sposobie przetwarzania Danych,

  10. niezwłocznego informowania Administratora telefonicznie, a na jego żądanie również w formie pisemnej lub e-mailowej w sposób udokumentowany i wraz z uzasadnieniem, o:

  1. powziętych wątpliwościach co do zgodności z prawem wydanych przez Administratora poleceń lub instrukcji pod rygorem utraty możliwości dochodzenia roszczeń przeciwko Administratorowi z tego tytułu,

  2. każdorazowym zamiarze, w tym o obowiązku, przekazania powierzonych Danych do państwa trzeciego lub organizacji międzynarodowej (czyli poza Europejski Obszar Gospodarczy, dalej jako „EOG”) w celu uzyskania na to zgody Administratora i umożliwienia mu podjęcia działań niezbędnych do zapewnienia zgodności przetwarzania z prawem lub też podjęcia decyzji o zakończeniu powierzenia.

  3. planowanych zmianach w sposobie przetwarzania Danych w taki sposób i z takim wyprzedzeniem, aby zapewnić Administratorowi realną możliwość reagowania, jeżeli planowane przez Przetwarzającego zmiany w opinii Administratora grożą uzgodnionemu poziomowi bezpieczeństwa Danych lub zwiększają ryzyko naruszenia praw lub wolności osób wskutek przetwarzania Danych przez Przetwarzającego,

  4. wykorzystywaniu w celu realizacji Umowy zautomatyzowanego przetwarzania, w tym profilowania, o którym mowa w art. 22 ust. 1 i 4 RODO, aby zapewnić Administratorowi realną możliwość wykonania obowiązku informacyjnego.

  1. Przetwarzający zobowiązuje się niezwłocznie powiadamiać Administratora o każdym naruszeniu ochrony danych lub podejrzeniu takiego naruszenia, w tym o nieupoważnionym dostępie do danych lub każdej innej sytuacji mogącej mieć wpływ na poprawność przetwarzania lub bezpieczeństwo Danych, a także umożliwia Administratorowi uczestnictwo w czynnościach wyjaśniających i informuje Administratora o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu lub braku stwierdzenia naruszenia.

  2. Powiadomienie, o którym mowa w ust. 11, powinno być dokonane:

  1. telefonicznie i dodatkowo e-mailowo, a na żądanie Administratora również na piśmie,

  2. nie później niż w ciągu 24 godzin od ujawnienia incydentu,

  3. wraz z jednoczesnym przedłożeniem wszelkiej niezbędnej dokumentacji dotyczącej naruszenia/ incydentu, a na żądanie Administratora również dodatkowych e-mailowych/ pisemnych informacji, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia organu nadzoru.


§ 4

Prawo do kontroli

  1. Administrator ma prawo kontroli, czy środki zastosowane przez Przetwarzającego przy przetwarzaniu danych spełniają postanowienia Porozumienia i Rozporządzenia.

  2. Przetwarzający na każdy pisemny wniosek Administratora zobowiązany jest do udzielenia pisemnej informacji dotyczącej przetwarzania powierzonych mu danych osobowych w terminie 14 dni od dnia otrzymania takiego wniosku.

  3. Administrator ma prawo do faktycznej weryfikacji sposobu przetwarzania danych osobowych wskazanych w § 1 ust. 1 Porozumienia, w sposób każdorazowo ustalony przez Strony, po zgłoszeniu zamiaru takiej weryfikacji Przetwarzającemu z wyprzedzeniem minimum 14 dni.

  4. Przetwarzający udostępni Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązku określonego w art. 28 Rozporządzenia.

  5. Po stwierdzeniu naruszeń niniejszego Porozumienia przez Administratora Przetwarzający jest zobowiązany do ich usunięcia w terminie i w sposób ustalony pomiędzy Stronami.

  6. Przetwarzający ma zakaz wynoszenia dokumentacji medycznej papierowej, oraz elektronicznej poza teren Administratora.


§ 5

Podpowierzenie

  1. Przetwarzający może powierzyć innym podmiotom (dalej jako „Podprzetwarzający”) konkretne operacje przetwarzania Danych (dalej jako „podpowierzenie”) pod warunkiem jednoczesnego spełnienia poniższych warunków:

  1. Przetwarzający uprzednio zgłosi Administratorowi każdorazowy zamiar podpowierzenia Danych konkretnemu podmiotowi,

  2. Przetwarzający uprzednio przedłoży Administratorowi pisemne oświadczenie adresowane do Administratora podpisane przez Przetwarzającego i Podprzetwarzającego, że Podpowierzającemu znane są obowiązki wynikające z Porozumienia i Podpowierzający zobowiązuje się do ich realizowania w zakresie dotyczącym podpowierzonych Danych, ewentualnie ze wskazaniem wyjątkowo tych obowiązków, które nie mogą znaleźć zastosowania ze względu na naturę konkretnego podpowierzenia.

  3. Przetwarzający na żądanie Administratora udzieli mu wszelkich informacji i wyjaśnień związanych z naturą konkretnego podpowierzenia,

  4. Przetwarzający uzyska każdorazową pisemną lub e-mailową zgodę Administratora na podpowierzenie Danych konkretnemu podmiotowi,

  5. podpowierzenie nastąpi w drodze pisemnej Umowy podpowierzenia, której przedmiotem nie będzie przekazanie Podprzetwarzającemu całości wykonania Porozumienia/Umowy Podstawowej,

  6. Przetwarzający zawiadomi Administratora o fakcie zawarcia pisemnej umowy podpowierzenia z zaakceptowanym przez Administratora Podprzetwarzającym, celem uwzględnienia tego podmiotu na Liście Zaakceptowanych Podprzetwarzających stanowiącej załącznik nr 1 do Umowy.

  1. Powierzenie przetwarzania Danych Podprzetwarzającym spoza Listy zaakceptowanych Podprzetwarzających stanowiącej załącznik nr 1 do Umowy wymaga każdorazowego spełnienia warunków wskazanych w ust. 1, w tym uprzedniego zgłoszenia tego faktu Administratorowi oraz przedłożenia Administratorowi pisemnego oświadczenia, o którym mowa w ust. 1 pkt 2 Porozumienia, w celu umożliwienia Administratorowi uprzedniego wyrażenia na to zgody.

  2. Administrator może z uzasadnionych przyczyn w całym okresie obowiązywania Porozumienia zgłosić Przetwarzającemu pisemny lub e-mailowy sprzeciw względem dalszego kontynuowania powierzenia Danych konkretnemu Podprzetwarzającemu uwzględnionemu na Liście Zaakceptowanych Podprzetwarzających. Wątpliwości co do zasadności sprzeciwu i ewentualnych negatywnych konsekwencji Przetwarzający może zgłosić Administratorowi w czasie umożliwiającym zapewnienie ciągłości przetwarzania.

  3. Przetwarzający nie ma prawa powierzyć Danych Podprzetwarzającemu, na którego zgodę pisemną lub e-mailową nie wyraził Administrator.

  4. W razie zgłoszenia sprzeciwu co do aktualnego Podprzetwarzającego, Przetwarzający musi niezwłocznie zakończyć dalsze podpowierzenie temu Podprzetwarzającemu.


§ 6

Odpowiedzialność

  1. Przetwarzający odpowiada za szkody spowodowane swoim działaniem lub zaniechaniem w związku z niedopełnieniem obowiązków, które RODO lub Porozumienie nakłada na Przetwarzającego lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom. Przetwarzający odpowiada w szczególności za szkody spowodowane niezastosowaniem właściwych środków bezpieczeństwa.

  2. Przetwarzający odpowiada za niezgodne z prawem, Porozumieniem, czy instrukcjami Administratora działania lub zaniechania Podprzetwarzającego jak za swoje własne działania lub zaniechania. Jeżeli Podprzetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora z tego tytułu spoczywa każdorazowo na Przetwarzającym.


§ 7

Czas obowiązywania umowy i usunięcie danych

  1. Porozumienie obowiązuje przez okres obowiązywania Umowy Podstawowej, zastrzeżeniem terminu przechowywania/usunięcia/zwrotu danych i bezterminowego obowiązku zachowania tajemnicy (poufności).

  2. Z chwilą rozwiązania Porozumienia:

  1. Przetwarzający zawiadomi pisemnie lub e-mailowo Administratora, jeżeli prawo nakazuje przetwarzającemu dalej przechowywać dane i przez jaki okres czasu,

  2. wystąpi do Administratora o wydanie instrukcji służących zakończeniu przetwarzania, w tym co do sposobu i terminu usunięcia lub zwrotu Danych.

  1. Po wykonaniu zobowiązania, o którym mowa w niniejszym paragrafie., Przetwarzający złoży Administratorowi pisemne/e-mailowe oświadczenie potwierdzające datę i fakt trwałego usunięcia wszystkich Danych i/lub Administrator złoży Przetwarzającemu pisemne/e-mailowe oświadczenie potwierdzające datę i fakt dokonania zwrotu danych Administratorowi.


§ 8

Poufność

  1. Przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).

  2. Przetwarzający oświadcza, że z zastrzeżeniem § 4 Porozumienia, w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie Umowy Podstawowej lub Porozumienia, chyba że konieczność ujawniania posiadanych informacji wynika z obowiązujących przepisów prawa lub Porozumienia.

  3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych, w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.


§ 9

Postanowienia końcowe

  1. W razie sprzeczności pomiędzy postanowieniami niniejszego Porozumienia a Umowy Podstawowej, pierwszeństwo mają postanowienia Porozumienia. Oznacza to także, że kwestie dotyczące przetwarzania danych osobowych pomiędzy Administratorem a Przetwarzającym należy regulować poprzez zmiany niniejszego Porozumienia lub w wykonaniu jej postanowień.

  2. Wszelkie spory wynikłe z niniejszego Porozumienia rozstrzygane będą przez sąd powszechny właściwy dla siedziby Administratora.

  3. W zakresie nieuregulowanym niniejszym Porozumieniem znajdują do niej zastosowanie przepisy RODO oraz prawa polskiego z zakresu ochrony Danych.

  4. Jeżeli którekolwiek z postanowień Porozumienia okaże się nieskuteczne wówczas nie wpływa to na skuteczność pozostałych jej postanowień. W takim przypadku Strony zobowiązane są do zastąpienia postanowienia nieskutecznego postanowieniem najbardziej zbliżonym pod względem celu ekonomicznego i prawnego do celu postanowienia nieskutecznego.

  5. Porozumienie zastępuje wszelkie dotychczasowe ustne lub pisemne ustalenia Stron związane z przedmiotem Porozumienia, w tym ujęte w treści Umowy Podstawowej.

  6. Załączniki do Porozumienia stanowią jej integralną część.

  7. Porozumienie zostało sporządzone w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.





PRZETWARZAJĄCY: ADMINISTRATOR:























ZAŁĄCZNIK NR 1

DO UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH z dnia .............

*Wzór Listy Zaakceptowanych Podprzetwarzajacych



Listy Zaakceptowanych Podprzetwarzających:

1. …………………………………………………………..

Data rozpoczęcia podprzetwarzania: ……………………………………..

Data zakończenia podprzetwarzania: …………………………………….


2. …………………………………………………………..

Data rozpoczęcia podprzetwarzania: ……………………………………..

Data zakończenia podprzetwarzania: …………………………………….


3. …………………………………………………………..

Data rozpoczęcia podprzetwarzania: ……………………………………..

Data zakończenia podprzetwarzania: …………………………………….

6


Document Metadata

Filed: November 7th, 2018