UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Umowa zawarta dnia data pomiędzy:
Dane klienta
zwaną dalej „ADMINISTRATOREM”
a
Firmą „SoftMedica” Oprogramowanie Medyczne ▇▇▇▇▇▇ ▇▇▇▇▇▇▇▇▇▇▇ z siedzibą w Czersku przy ul. ▇▇▇▇▇▇▇▇▇▇▇ ▇; ▇▇-▇▇▇ ▇▇▇▇▇▇ NIP ▇▇▇-▇▇▇-▇▇-▇▇, REGON 220528713 zwaną dalej „PODMIOTEM PRZETWARZAJĄCYM”.
zwane dalej również łącznie „Stronami"
▇▇▇▇▇▇ zgodnie postanowiły zawrzeć niniejszą Umowę Powierzenia o następującej treści:
§1
Przedmiot Umowy Powierzenia
1. Administrator powierza Podmiotowi przetwarzającemu, w trybie art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46 (dalej „RODO") dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej Umowie Powierzenia.
2. Administrator oświadcza, że jest administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO, które powierza Podmiotowi przetwarzającemu.
3. Przetwarzający zobowiązuje się do przetwarzania powierzonych mu danych zgodnie z niniejszą Umową Powierzenia, RODO, innymi powszechnie obowiązującymi przepisami prawa oraz wewnętrznymi regulacjami obowiązującymi u Administratora.
4. Przez przepisy prawa, o których mowa w ust. 3 powyżej, Strony rozumieją wszystkie akty prawne obowiązujące na dzień zawarcia niniejszej Umowy Powierzenia lub w przyszłości, z uwzględnieniem ich ewentualnych zmian.
5. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający celem wykonywania umowy licencyjnej nr licencji w zakresie związanym z udzielanym Administratorowi wsparciem technicznym na wyraźne zapotrzebowanie Administratora.
6. Podmiot przetwarzający oświadcza, że stosuje środki bezpieczeństwa spełniające wymogi RODO.
7. Podmiot przetwarzający oświadcza, że przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej — chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
§2
Zakres i cel przetwarzania danych
1. Dane osobowe dotyczą następujących kategorii osób: zatrudnionych u Administratora na jakiejkolwiek podstawie prawnej, pacjentów, oraz innych osób/podmiotów mogących pojawić się w ramach czynności prawnych w zakresie udzielania świadczeń zdrowotnych.
2. Podmiot przetwarzający będzie przetwarzać, powierzone na podstawie niniejszej umowy dane w następującym zakresie: imię (imiona), nazwisko (nazwiska), ▇▇▇▇, ▇▇▇▇ ▇▇▇▇▇▇▇, służbowe dane kontaktowe (nr telefonu, adresy siedzib, adresy mailowe, nr fax), stanowisko służbowe, dane dot. zatrudnienia, dane dotyczące stanu zdrowia pacjentów.
3. Administrator oświadcza, że rodzaj danych osobowych, powierzanych niniejszą umową, obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający włącznie w celu realizacji umowy nr licencji „SoftMedica” Oprogramowanie Medyczne.
§ 3
Zasady przetwarzania danych
1. W ramach wykonania niniejszej umowy Podmiot przetwarzający zobowiązuje się, w szczególności do:
a) zabezpieczenia danych osobowych poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniający adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO,
b) wykorzystania powierzonych przez Administratora Danych Osobowych wyłącznie w zakresie i w celu określonym w niniejszej Umowy Powierzenia,
c) dołożenia należytej staranności przy przetwarzaniu powierzonych Danych osobowych,
d) niewykonywania żadnych czynności związanych z dalszym przekazywaniem danych
osobowych nieuregulowanych w niniejszej Umowie Powierzenia,
e) nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane osobowe w celu realizacji niniejszej Umowy Powierzenia,
f) Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy (o której mowa w art. 28 ust. 3 lit. b RODO) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej Umowy powierzenia, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu,
g) Podmiot przetwarzający biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO,
h) Podmiot przetwarzający pomoże Administratorowi w niezbędnym zakresie wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 RODO.
2. Podmiot przetwarzający niezwłocznie, najpóźniej 3 dni po zakończeniu świadczenia usług związanych z przetwarzaniem usuwa wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
3. Podmiot przetwarzający udostępnia Administratorowi na każde jego żądanie wszelkie informacje niezbędne do wykazania spełnienia obowiązków Podmiotu przetwarzającego, jako podmiotu przetwarzającego dane osobowe oraz umożliwia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzenie audytów, w tym inspekcji.
4. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi jednak nie później niż w ciągu 24 godzin. Zgłoszenie, o którym mowa w ust. 4, musi co najmniej:
a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie:
b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie
innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
d) opisywać środki zastosowane lub proponowane przez Administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
5. Podmiot przetwarzający jest obowiązany do dokumentowania wszelkich okoliczności i zebrania wszelkich dowodów, które pomogą Administratorowi wyjaśnić szczegóły naruszenia, w tym jego charakter, skalę skutki, czas zdarzenia, osoby odpowiedzialne oraz osoby poszkodowane.
6. Podmiot przetwarzający zobowiązany jest niezwłocznie zastosować się do zaleceń Administratora dotyczących przetwarzania danych osobowych, zwłaszcza dotyczących ich przechowywania i zabezpieczenia.
7. Podmiot przetwarzający ponosi odpowiedzialność za działania wszelkich innych osób, przy pomocy których przetwarza dane osobowe, jak za własne działanie i zaniechanie.
§4
Prawo kontroli
1. Administrator zgodnie z art. 28 ust. 3 lit. h RODO ma prawo kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia niniejszej Umowy Powierzenia.
2. Administrator realizować będzie prawo kontroli w godzinach pracy Podmiotu przetwarzającego
i z minimum 3-dniowym jego uprzedzeniem.
3. Podmiot przetwarzający zobowiązuje się do usunięcia uchybienia stwierdzonych podczas
kontroli w terminie wskazanym przez Administratora nie dłuższym niż 7 dni.
4. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.
5. Podmiot przetwarzający umożliwia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
6. W związku z obowiązkiem określonym w ust. 4 Podmiot przetwarzający niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.
§5
Podpowierzenie
Administrator nie dopuszcza możliwość podpowierzenia przetwarzania powierzonych danych
osobowych podwykonawcom Podmiotu przetwarzającego (tzw. subprocesorom).
§6
Odpowiedzialność Przetwarzającego
1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy Powierzenia lub powszechnie obowiązującymi przepisami prawa, a w szczególności za udostępnienie powierzonych do przetworzenia danych osobowych osobom nieupoważnionym.
2. Przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w Umowie Powierzenia, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są mu wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania u Podmiotu przetwarzającego te dane osobowe.
§7
Czas trwania Umowy Powierzenia
1. Umowa Powierzenia wchodzi w życie w dniu jej zawarcia.
2. Umowa Powierzenia zostaje zawarta na czas trwania umowy, o której mowa w § 2 ust. 4.
3. Administrator jest uprawniony do rozwiązania Umowy Powierzenia bez zachowania okresu
wypowiedzenia w razie:
a) istotnego naruszenia przez Podmiot przetwarzający postanowień Umowy Powierzenia, jeżeli nie zaprzestanie on naruszeń lub nie naprawi ich skutków w terminie wyznaczonym przez Administratora;
b) jeśli w wyniku kontroli przeprowadzonej przez upoważniony organ nadzoru zostanie stwierdzone, że Przetwarzający przetwarza Dane osobowe z naruszeniem obowiązujących przepisów,
c) powierzenia przez Podmiot przetwarzający przetwarzanie danych osobowych innemu
podmiotowi.
§8
Zasady zachowania tajemnicy
1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej.
2. Podmiot przetwarzający oświadcza, ze w związku ze zobowiązaniem do zachowania w tajemnicy
danych, o których mowa w ust. l , nie będą one wykorzystywane, ujawniane ani udostępniane
bez pisemnej zgody Administratora w innym celu niż wykonanie Umowy Powierzenia, chyba ze konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy Powierzenia.
3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych, o których mowa w ust. l , gwarantowały zabezpieczenie danych w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
§9
Postanowienia końcowe.
1. Wszelkie zmiany oraz uzupełnienia w treści Umowy Powierzenia wymagają formy pisemnej pod rygorem nieważności.
2. Treść Umowy może być zmieniana ▇.▇▇. w przypadku zmiany przepisów prawa i konieczności dostosowania treści Umowy do tych przepisów lub zmiany regulacji wewnętrznych dotyczących przetwarzania danych osobowych obowiązujących u Administratora.
3. W sprawach nieuregulowanych Umową Powierzenia znajdują zastosowanie odpowiednie przepisy powszechnie obowiązującego prawa oraz postanowienia umowy, o której mowa w §2 ust. 4.
4. Jeżeli jedno lub więcej postanowień Umowy Powierzenia będzie lub stanie się nieważne lub bezskuteczne, nie wpływa to na ważność lub skuteczność pozostałych postanowień Umowy Powierzenia. Po podjęciu wiedzy w przedmiocie nieważności jakichkolwiek postanowień Umowy Powierzenia. Strony niezwłocznie sporządzą pisemny aneks do Umowy Powierzenia, którym uchylą wadliwe postanowienia i zastąpią je nowym, zgodnym z prawem brzmieniem, najbardziej zbliżonym do wcześniejszej intencji Stron.
5. Jako prawo właściwe dla wszystkich swoich stosunków zobowiązaniowych Strony wskazują
prawo polskie.
6. W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego. rozporządzenia oraz inne przepisy prawa powszechnie obowiązującego.
7. Umowę Powierzenia sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
Administrator | Podmiot przetwarzający | |
podpisy osób upoważnionych | podpisy osób upoważnionych |