UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

UMOWA

POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Zawarta w dniu ……….. pomiędzy:

Klinicznym Centrum Ginekologii, Położnictwa i Neonatologii w Opolu, 00-000 Xxxxx,
xx. Xxxxxxxx 0, NIP: 000-00-00-000, BDO: 000076622 wpisanym do Krajowego Rejestru Sądowego pod numerem 0000005533

reprezentowanym przez:

Panią Xxxxxxxxxx Xxxxx – Dyrektora, zwanym dalej „Administratorem”,

a

…………………………………………………………………………………………….. zwanym dalej „Podmiotem Przetwarzającym”,
Administrator i Podmiot Przetwarzający będą dalej zwani łącznie „Stronami”, a każdy z osobna „Stroną”.

Zważywszy, że:

  1. Administrator jest administratorem danych osobowych w rozumieniu art. 4 pkt 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanego dalej „RODO”, wskazanych w załączniku nr 1 do niniejszej umowy.

  2. Administrator zamierza powierzyć Podmiotowi Przetwarzającemu przetwarzanie danych osobowych, a Podmiot Przetwarzający zamierza przyjąć powierzone mu dane osobowe do przetwarzania w imieniu Administratora, zgodnie z umową oraz z przepisami regulującymi przetwarzanie danych osobowych, wiążącymi Podmiot Przetwarzający i Administratora.

Xxxxxx postanowiły, co następuje:

§ 1

Przedmiot umowy, cel i zakres przetwarzania danych

  1. Przedmiotem umowy jest powierzenie przez Administratora danych osobowych do przetwarzania przez Podmiot Przetwarzający, na zasadach określonych w Umowie oraz we właściwych przepisach regulujących przetwarzanie danych osobowych, w szczególności
    w RODO.

  2. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot Przetwarzający wyłącznie w celu realizacji umowy na udzielanie świadczeń zdrowotnych nr……..

  3. Rodzaj danych osobowych, kategorie osób, których dotyczą dane osobowe, czas trwania, charakter i cel przetwarzania danych osobowych są wskazane w załączniku nr 1.

  4. Strony zobowiązują się wykonywać zobowiązania wynikające z umowy z najwyższą starannością, w celu prawidłowego zabezpieczenia prawnego, organizacyjnego
    i technicznego interesów Stron oraz osób, których dane osobowe dotyczą, w zakresie przetwarzania danych osobowych.









§ 2

Czas trwania

Niniejsza umowa obowiązuje przez cały okres obowiązywania umowy, o której mowa w § 1 ust. 2.



§ 3

Przetwarzanie danych osobowych

  1. Z zastrzeżeniem ust. 2, przetwarzanie danych osobowych przez Podmiot Przetwarzający może następować wyłącznie w przypadkach wynikających z Umowy lub na podstawie odrębnych zleceń Administratora, wyrażonych w formie dokumentowej (papierowej lub cyfrowej, w tym za pośrednictwem poczty elektronicznej).

  2. Podmiot Przetwarzający ma prawo przetwarzać dane osobowe, jeżeli obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Podmiot Przetwarzający. W takim przypadku Podmiot Przetwarzający jest zobowiązany poinformować Administratora o stosującym się do niego obowiązku prawnym co najmniej na 24 godziny przed rozpoczęciem przetwarzania, chyba że wiążące go przepisy zabraniają mu udzielania takiej informacji, z uwagi na ważny interes publiczny.

  3. Wszelkie zlecane przez Administratora operacje przetwarzania danych osobowych Podmiot Przetwarzający wykonuje niezwłocznie, w szczególności jeśli chodzi o usunięcie danych osobowych na żądanie osoby, której dotyczą.

  4. Biorąc pod uwagę charakter przetwarzania danych osobowych, Podmiot Przetwarzający
    ma obowiązek współdziałania z Administratorem w celu wywiązania się z obowiązku odpowiadania na żądania osoby, której dane osobowe dotyczą, w zakresie wykonywania jej praw określonych w obowiązujących przepisach, wdrażając odpowiednie środki techniczne
    i organizacyjne.


§ 4

Bezpieczeństwo danych osobowych

    1. Podmiot Przetwarzający stosuje środki techniczne i organizacyjne, odpowiednie do zagrożeń oraz charakteru, zakresu, kontekstu i celu przetwarzania danych osobowych, zapewniające bezpieczeństwo danych osobowych, w szczególności przed ich przypadkowym lub niezgodnym
      z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem.

    2. Podmiot Przetwarzający, uwzględniając charakter przetwarzania danych osobowych oraz dostępne mu informacje, ma obowiązek współdziałania z Administratorem w wywiązaniu się
      z obowiązków określonych w art. 32–36 RODO.

    3. Podmiot Przetwarzający niezwłocznie zawiadamia Administratora, przed podjęciem jakichkolwiek działań, o każdym przypadku:

  1. wystąpienia jakiegokolwiek organu z żądaniem udostępnienia danych osobowych, chyba że zakaz ujawnienia tej informacji wynika z obowiązujących przepisów;

  1. wystąpienia przez osobę, której dane osobowe dotyczą, z żądaniem dotyczącym przetwarzania danych osobowych lub ich treści.

    1. Podmiot Przetwarzający niezwłocznie – w każdym wypadku nie później niż w ciągu 24 godzin od wykrycia – informuje Administratora o wszelkich wykrytych naruszeniach bezpieczeństwa danych osobowych, przekazując Administratorowi wszelkie dostępne Podmiotowi Przetwarzającemu informacje na temat naruszenia, w szczególności:

  1. charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorie
    i przybliżoną liczbę osób, których dane osobowe dotyczą, oraz kategorie i przybliżoną liczbę wpisów, których dotyczy naruszenie;

  2. możliwe konsekwencje naruszenia ochrony danych osobowych oraz

  3. środki zastosowane lub proponowane przez Podmiot Przetwarzający w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

    1. Podmiot Przetwarzający współdziała z Administratorem przy ustalaniu szczegółów związanych ze zgłoszonym Administratorowi naruszeniem, w szczególności przyczyn i skutków jego wystąpienia oraz wdraża zalecane przez Administratora środki mające na celu złagodzenie ewentualnych niekorzystnych skutków naruszenia danych osobowych oraz środki naprawcze.

    2. Podmiot Przetwarzający niezwłocznie informuje Administratora, jeśli jego zdaniem wydane mu przez Administratora polecenie dotyczące przetwarzania danych osobowych stanowi naruszenie obowiązujących przepisów.

§ 5

Prawo do kontroli

  1. Administrator ma prawo kontrolowania sposobu wypełniania przez Podmiot Przetwarzający jego obowiązków określonych w umowie lub w obowiązujących przepisach. W szczególności Administrator może żądać udostępnienia określonych informacji lub dokumentów oraz może przeprowadzać – samodzielnie lub przez upoważnionego przez Administratora pracownika lub współpracownika – audyty, w tym inspekcje w miejscu przetwarzania danych osobowych przez Podmiot Przetwarzający.

  2. Podmiot Przetwarzający ma obowiązek współpracować z Administratorem lub upoważnionym przez Administratora pracownikiem lub współpracownikiem w czasie przeprowadzanej kontroli,
    w sposób umożliwiający Administratorowi weryfikację prawidłowej realizacji obowiązków Podmiotu Przetwarzającego.

§ 6

Postanowienia końcowe

  1. Podmiotowi Przetwarzającemu nie przysługuje wynagrodzenie za wykonywanie Umowy.

  2. Załącznik nr 1 do Umowy stanowi jej integralną część.

  3. Wszelkie spory między Stronami będą rozwiązywane na zasadzie polubownych negocjacji. W przypadku nieosiągnięcia przez Xxxxxx porozumienia, spór zostanie przekazany do rozstrzygnięcia sądowi powszechnemu właściwemu dla siedziby Administratora.

  4. Wszelkie zmiany umowy wymagają formy pisemnego aneksu pod rygorem nieważności.

  5. Umowa została sporządzona w dwóch egzemplarzach, po jednym dla każdej ze Stron.







Administrator:

Podmiot Przetwarzający:



__________________________



__________________________







Załącznik nr 1 – Dane osobowe



Rodzaje danych osobowych

(np. imię, nazwisko, adres, numer PESEL, numer telefonu, e‑mail, adres IP, data urodzenia, xxxx, dane o stanie zdrowia)

Dane osobowe i dane dotyczące zdrowia pacjentów (imię, nazwisko, numer PESEL, data urodzenia, płeć, wiek, adres, nr telefonu, e-mail, rozpoznanie kliniczne/podejrzenie)

Dane osobowe pracowników (imię, nazwisko, prawo wykonywania zawodu, stanowisko, dane specjalizacji)

Kategorie osób, których dane osobowe dotyczą

(np. pracownicy, dostawcy, pacjenci, kontrahenci, klienci)

Pacjenci, pracownicy

Zakres przetwarzania danych osobowych

(czynności dokonywane na powierzonych danych osobowych, np.: zbieranie, utrwalanie, organizowanie, porządkowanie, adaptowanie, przechowywanie, modyfikowanie, pobieranie, przeglądanie, udostępnianie, zmienianie, usuwanie)

zbieranie, utrwalanie, organizowanie, przeglądanie, przechowywanie, modyfikowanie, pobieranie, zmienianie, udostępnianie, usuwanie

Charakter przetwarzania

(np. systematyczny/sporadyczny)

systematyczny

Cel przetwarzania

(np. wykonanie umowy z dnia…)

realizacja umowy na udzielanie świadczeń zdrowotnych nr ……………. r.
…………………………

Czas przetwarzania

(np. okres obowiązywania umowy
z dnia…)

okres obowiązywania umowy na udzielanie świadczeń zdrowotnych nr ………………………….



Document Metadata

Filed: October 4th, 2024