Porozumienie w sprawie powierzenia przetwarzania danych osobowych (dalej: Porozumienie)
Załącznik nr 3.4. do umowy 17/2022/DZP
Porozumienie w sprawie powierzenia przetwarzania danych osobowych (dalej: Porozumienie)
zawarte w dniu: r. w Warszawie pomiędzy:
Szpitalem Specjalistycznym im. Świętej Rodziny Samodzielnym Publicznym Zakładem Opieki Zdrowotnej z siedzibą w Warszawie, przy ul. A.J. Madalińskiego 25, numer kodu 02-544, wpisanym do rejestru stowarzyszeń, organizacji społecznych i zawodowych, fundacji oraz samodzielnych publicznych zakładów opieki zdrowotnej prowadzonego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000080373, NIP 000-00-00-000, REGON 012045743,
reprezentowanym przez:
Dyrektora Szpitala – xxx xxx. Xxxxx Xxxxxx zwanym w dalszej części Umowy „Szpitalem”, a
firmą …………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
reprezentowaną przez:
………………………………………………………………………….
…………………………………………………………………………. zwaną dalszej części Umowy „Wykonawcą”,
zwane dalej łącznie Stronami, a każda z osobna Stroną. Zważywszy, że:
1. Strony łączy Umowa nr ……………………………… z dnia w zakresie
………………………………………………………………… (dalej: Umowa),
2. W ramach łączącej Strony Umowy dochodzi do przepływu danych osobowych,
3. Niniejsze Porozumienie ma charakter akcesoryjny wobec Umowy i reguluje wzajemny stosunek Stron i obowiązki w zakresie przetwarzania danych osobowych wynikających z Umowy,
Xxxxxx postanowiły podpisać Porozumienie w sprawie powierzenia przetwarzania danych osobowych o treści jak niżej:
§ 1.
Zakres i cel powierzenia przetwarzania danych osobowych
1. Zamawiający oświadcza, że przetwarza dane osobowe osób fizycznych (dalej: Dane Osobowe):
1) Pacjentów w związku z udzielaniem świadczeń zdrowotnych na rzecz tych osób w zakresie:
a) profilaktyki,
b) diagnostyki,
c) leczenia,
d) rehabilitacji.
Gdy pacjentem jest osoba małoletnia, całkowicie ubezwłasnowolniona lub niezdolna do świadomego wyrażenia zgody Pracodawca przetwarza dodatkowo niezbędne Xxxx Xxxxxxx przedstawiciela ustawowego, w szczególności: imię, nazwisko, nr Xxxxx, nr dowodu osobistego/paszportu, adres miejsca zamieszkania; a w przypadkach uzasadnionych procesem leczenia również dane szczególnych kategorii (w tym dane medyczne).
2) Pracowników w związku z wykonywaniem zadań administratora danych osobowych odnoszących się do ich zatrudnienia.
2. Zamawiający oświadcza, że jest Administratorem Danych Osobowych osób wskazanych w ust. 1 w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony danych osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanym dalej „Rozporządzeniem”, oraz w rozumieniu Ustawy o ochronie danych osobowych z 10 maja 2018 r. (tekst jedn. Dz. U. z 2019 roku, poz. 1781) zwanej dalej „Ustawą”, a Wykonawca przyjmuje do wiadomości, że Zamawiający jest Administratorem Danych Osobowych.
3. W związku z realizacją umowy na dostawę mieszanin do karmienia pozajelitowego Zamawiający w trybie art. 28 Rozporządzenia powierza niniejszym Wykonawcy w celu i zakresie niezbędnym do realizacji postanowień Umowy Dane Osobowe:
1) Pacjentów Zamawiającego, na rzecz których udzielane są świadczenia zdrowotne przez Wykonawcę, w zakresie danych zwykłych oraz danych szczególnych kategorii.
2) Pracowników Zamawiającego, w zakresie danych zwykłych oraz danych szczególnych kategorii.
4. Zakres Danych Osobowych wymienionych w ust. 3 jest maksymalnym katalogiem danych, które mogą być przetwarzane w związku z realizacją Umowy. W rzeczywistości dane, do których będzie miał dostęp Wykonawca, mogą być przekazywane przez Zamawiającego w mniejszym zakresie bez uszczerbku dla postanowień Umowy. Zakres danych może ulec zmianie w przypadku zmiany aktualnie obowiązujących przepisów prawa.
§ 2.
Obowiązki Wykonawcy
1. Wykonawca zobowiązany jest do przestrzegania niniejszego Porozumienia, w tym do przetwarzania Danych Osobowych zgodnie z zakresem Umowy, przestrzegając postanowień Umowy i obowiązujących przepisów regulujących kwestię ochrony danych osobowych; w szczególności Ustawy oraz Rozporządzenia.
2. Wykonawca zobowiązuje się:
a) przy przetwarzaniu powierzonych Danych Osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzykom związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia,
b) dołożyć należytej staranności przy przetwarzaniu powierzonych Danych Osobowych,
c) nadać upoważnienia do przetwarzania danych osobowych wszystkim swoim pracownikom, którzy będą przetwarzali powierzone Dane Osobowe w celu realizacji Umowy,
d) prowadzić ewidencję osób upoważnionych do przetwarzania powierzonych Danych Osobowych,
e) zapewnić zachowanie w tajemnicy (o której mowa w art. 28 ust. 3 pkt b) Rozporządzenia) przetwarzanych danych osobowych oraz sposobów ich zabezpieczenia, zarówno w trakcie współpracy jak i po ustaniu współpracy ze Zleceniodawcą.
3. Wykonawca zobowiązuje się:
a) wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia (Prawa osoby, której dane dotyczą),
b) wywiązać się z obowiązków określonych w art. 32 - 36 Rozporządzenia, w szczególności w przypadku stwierdzenia naruszenia zasad ochrony i przetwarzania powierzonych Danych Osobowych, zgłosić je Zleceniodawcy niezwłocznie, jednak nie później niż w terminie 24 godzin od chwili stwierdzenia naruszenia.
4. Wykonawca po zakończeniu trwania Umowy jest zobowiązany do usunięcia lub/i zwrotu Zleceniodawcy powierzonych Danych Osobowych, o ile przepis prawa powszechnie obowiązującego nie stanowi inaczej.
§ 3.
Prawo do kontroli
1. Zamawiający, zgodnie z art. 28 ust. 3 pkt h) Rozporządzenia, ma prawo kontroli, czy środki zastosowane przez Wykonawcę przy przetwarzaniu danych spełniają postanowienia Umowy i Rozporządzenia.
2. Wykonawca, na każdy pisemny wniosek Zamawiającego, zobowiązany jest do udzielenia pisemnej informacji dotyczących przetwarzania powierzonych mu Danych Osobowych w terminie 14 dni od dnia otrzymania takiego wniosku.
3. Zamawiający ma prawo do faktycznej weryfikacji sposobu przetwarzania powierzonych Wykonawcy Danych Osobowych, po zgłoszeniu zamiaru takiej weryfikacji przez Zleceniodawcę z wyprzedzeniem minimum 7 dni.
4. Wykonawca udostępni Zamawiającemu wszelkie informacje niezbędne do wykazania spełnienia obowiązku określonego w art. 28 Rozporządzenia.
5. W razie stwierdzenia przez Zamawiającego naruszeń ochrony powierzonych Danych Osobowych Wykonawca jest zobowiązany do ich usunięcia w terminie wskazanym przez Zamawiającego, nie dłuższym niż 7 dni.
§ 4.
Podpowierzenie
1. Zamawiający może upoważnić Wykonawcę do powierzania przetwarzania Danych Osobowych, wskazanych w § 1 ust. 3 powyżej, podwykonawcy, jedynie w celu niezbędnym do wykonania Umowy. Wykonawca jest zobowiązany do uzyskania pisemnej zgody Zamawiającego na powierzenie podwykonawcom przetwarzania Danych Osobowych, wskazanych w § 1 ust. 3 powyżej.
2. W przypadku uzyskania pisemnej zgody Zamawiającego o której mowa w § 4 pkt 1 Wykonawca zobowiązany jest do przekazania Zamawiającemu listy podwykonawców, którym w celu realizacji Umowy powierza Dane Osobowe do przetwarzania, w terminie 7 dni od daty podpisania niniejszego Porozumienia.
3. Wykonawca jest zobowiązany do zapewnienia, że podwykonawcy, o których mowa w ust. 1 powyżej, spełniają lub spełnią takie same wymagania i obowiązki ochrony danych osobowych jak Wykonawca, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków organizacyjnych i technicznych, aby przetwarzanie Danych Osobowych odpowiadało wymogom aktualnie obowiązujących przepisów prawa w zakresie ochrony danych osobowych.
4. Wykonawca ponosi pełną odpowiedzialność wobec Zamawiającego za naruszenie niniejszego Porozumienia przez podwykonawców, o których mowa w ust. 1i 2 powyżej.
§ 5.
Odpowiedzialność
1. Wykonawca jest odpowiedzialny za udostępnienie lub wykorzystanie Danych Osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
2. Wykonawca ponosi pełną odpowiedzialność wobec Zamawiającego za naruszenie postanowień ochrony danych osobowych przez podwykonawców, o których mowa w § 4 powyżej.
3. Wykonawca jest zobowiązany do niezwłocznego poinformowania Zamawiającego
o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Wykonawcę powierzonych danych osobowych, wskazanych w § 1 ust. 3 powyżej, oraz o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych skierowanych do Wykonawcy, a także wszelkich planowanych lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania przez Wykonawcę tych danych.
§ 6.
Poufność
1. Wykonawca zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Zamawiającego i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy, w formie ustnej, pisemnej lub elektronicznej („dane poufne”), zarówno w trakcie realizacji Umowy jak i po jej zakończeniu.
2. Wykonawca oświadcza, że z zastrzeżeniem § 4 niniejszego Porozumienia, w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych, nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Zamawiającego w innym celu niż wykonanie Umowy lub Porozumienia, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Porozumienia.
3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych, w tym w szczególności
Danych Osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
§ 7.
Kary i zwrot kosztów
1. Wykonawca jest odpowiedzialny za szkody wyrządzone Zamawiającemu, osobie fizycznej, której powierzone Xxxx Xxxxxxx dotyczą lub innym osobom trzecim w związku z niewykonaniem lub nienależytym wykonaniem Umowy, w szczególności w związku z nieprzestrzeganiem ochrony powierzonych Danych Osobowych.
2. Wykonawca zobowiązany jest do naprawienia szkody powstałej w wyniku nienależytego przetwarzania powierzonych jemu przez Zamawiającego Danych Osobowych
3. Odpowiedzialność finansowa Wykonawcy – za szkodę wyrządzoną Zamawiającemu lub osobom trzecim w związku z nieprzestrzeganiem ochrony Danych Osobowych wobec Zamawiającego obejmuje wszelkie szkody (w tym kary) poniesione przez Zamawiającego lub osoby trzecie na skutek działań lub zaniechań Wykonawcy – na zasadach ogólnych, zgodnie z Kodeksem cywilnym.
4. W przypadku, gdy osoba trzecia zgłosi względem Zamawiającego jakiekolwiek roszczenia związane z naruszeniem Danych Osobowych, za które odpowiedzialność ponosi Wykonawca lub jego podwykonawca, Wykonawca uwolni Zamawiającego z wszelkiej odpowiedzialności z tego tytułu, płacąc należne tej osobie kwoty związane z naruszeniem tych Danych.
§ 8.
Postanowienia końcowe
1. Porozumienie obowiązuje przez czas trwania Umowy i przestaje wiązać Strony z dniem, z którym przestają być związane postanowieniami Umowy.
2. Zamawiający może rozwiązać niniejsze Porozumienie ze skutkiem natychmiastowym, gdy Wykonawca:
a) pomimo zobowiązania do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie,
b) przetwarza dane osobowe w sposób niezgodny z Porozumieniem,
c) powierzył przetwarzanie powierzonych sobie danych osobowych innemu podmiotowi bez zgody Zamawiającego.
3. Strony zgodnie uznają, że naruszenia Porozumienia, wskazane w ust. 2 powyżej, stanowić będą również naruszenia Umowy i mogą stanowić przesłankę do jej wypowiedzenia przez Xxxxxxxxxxxxx bez wypowiedzenia ze skutkiem natychmiastowym.
4. Wszelkie zmiany niniejszego Porozumienia wymagają formy pisemnej pod rygorem nieważności.
5. Porozumienie sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.