UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (wzór)
Załącznik Nr 6 do SWZ
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (wzór)
zawarta w Krasnymstawie, w dniu r. pomiędzy:
Samodzielnym Publicznym Zespołem Opieki Zdrowotnej w Krasnymstawie, 00-000 Xxxxxxxxxx, xx. Xxxxxxxxxxx 0, wpisanym do Krajowego Rejestru Sądowego – Rejestru Stowarzyszeń, Innych Organizacji Społecznych i Zawodowych, Fundacji oraz Samodzielnych Publicznych Zakładów Opieki Zdrowotnej w Sądzie Rejonowym Lublin-Wschód w Lublinie z siedzibą w Świdniku, VI Wydział Gospodarczy Krajowego Rejestru Sądowego Nr 0000097765, NIP 000-00-00-000 REGON 110196699 reprezentowanym przez:
………………….. – Dyrektora zwanym dalej „Administratorem” a
…………………………………………………………………………………………………………………..
wpisany do ,
NIP ……………… REGON ……………………
reprezentowanym przez:
1. …………………………………………………………..
2. ………………………………………………………….. zwanym dalej „Przetwarzającym”,
1. DEFINICJE
Dla potrzeb niniejszej umowy, Administrator i Przetwarzający ustalają następujące znaczenie niżej wymienionych pojęć:
1) Umowa Powierzenia – niniejsza umowa;
2) Umowa Główna – umowa z dnia ………………. r., której przedmiotem jest ………………………………
…………………………………………………………………………………………………………..;
3) RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1).
4) Inspektor Ochrony Danych Administratora - xxxxxxxxxxx@xxxxxxxxxxxxxxx.xx
5) Inspektor Ochrony Danych Przetwarzającego – …………………………………….
2. OŚWIADCZENIA STRON
Strony oświadczają, że niniejsza Umowa Powierzenia została zawarta w celu wykonania obowiązków, o których mowa w art. 28 RODO w związku z zawarciem Umowy Głównej,
3. PRZEDMIOT UMOWY
3.1. W trybie art. 28 ust. 3 RODO, Administrator powierza Przetwarzającemu do przetwarzania dane osobowe wskazane w pkt 4.1.-4.2. poniżej, a Przetwarzający zobowiązuje się do ich przetwarzania zgodnego z prawem i niniejszą Umową Powierzenia.
3.2. Przetwarzający może przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w Umowie Powierzenia, oraz zgodnie z innymi udokumentowanymi poleceniami Administratora, przy czym za takie udokumentowane polecenia uważa się postanowienia Umowy Powierzenia oraz ewentualne inne polecenia przekazywane przez Administratora na piśmie.
4. CEL, ZAKRES I CHARAKTER PRZETWARZANIAPrzetwarzający będzie przetwarzał następujące dane osobowe:
a) Xxxx i nazwisko, XXXXX, stan zdrowia Pacjentów Administratora oraz inne dane dotyczące pacjentów, wynikające z przepisów prawa;
b) imię i nazwisko, dane kontaktowe osób upoważnionych przez Pacjenta do udzielania im informacji o stanie zdrowia Pacjenta;
c) imię i nazwisko osoby kierującej Pacjenta, tytuł zawodowy, nr prawa wykonywania zawodu.
d) Dane osobowe ze zbiorów pracowników, współpracowników i kontrahentów Administratora.
4.2. Celem przetwarzania danych osobowych wskazanych w pkt 4.1 powyżej jest wykonanie Umowy Głównej, w szczególności …………………………………………………………………………………………
4.3. Przetwarzający przetwarza dane osobowe wskazane w pkt 4.1 powyżej wyłącznie w celu wskazanym w pkt. 4.2 powyżej i w zakresie niezbędnym do wykonania umowy głównej oraz jedynie w czasie jej wykonywania.
4.4. Przetwarzający zobowiązuje się do przetwarzania danych osobowych w sposób stały. Przetwarzający będzie w szczególności wykonywał następujące operacje dotyczące powierzonych danych osobowych:
………………………………………………………………………………………………………………
………………………………………………………………………………………………………….
Dane osobowe będą przez Przetwarzającego przetwarzane w formie elektronicznej w systemach informatycznych.
4.5. Przetwarzający będzie zbierał/otrzymywał dane osobowe poprzez …………………………………..
5. ZASADY POWIERZENIA PRZETWARZANIA
5.1. Przed rozpoczęciem przetwarzania danych osobowych Przetwarzający musi podjąć środki zabezpieczające dane osobowe, o których mowa w art. 32 RODO, a w szczególności:
a) uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, obowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Przetwarzający powinien odpowiednio udokumentować zastosowanie tych środków, a także uaktualniać te środki w porozumieniu z Administratorem,
b) zapewnić, by każda osoba fizyczna działająca z upoważnienia Przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora w celach i zakresie przewidzianym w Umowie Powierzenia,
c) prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora, o którym mowa w art. 30 ust. 2 RODO i udostępniać go Administratorowi na jego żądanie, chyba że Przetwarzający jest zwolniony z tego obowiązku na podstawie art. 30 ust. 5 RODO.
5.2. Przetwarzający zapewnia, aby osoby mające dostęp do przetwarzanych danych osobowych zachowały je oraz sposoby zabezpieczeń w tajemnicy, przy czym obowiązek zachowania tajemnicy istnieje również po realizacji Umowy Powierzenia oraz ustaniu zatrudnienia u Przetwarzającego.
6. DALSZE OBOWIĄZKI PRZETWARZAJĄCEGO
6.1. Przetwarzający zobowiązuje się pomagać Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO.
6.2. W sytuacji stwierdzenia naruszenia ochrony danych osobowych, Przetwarzający zobowiązuje się do:
a) przekazania Administratorowi informacji dotyczących naruszenia ochrony danych osobowych w ciągu 24 godzin od jego wykrycia, w tym informacji, o których mowa w art. 33 ust. 3 RODO, na adres poczty elektronicznej określony w pkt. 1 4).
b) przeprowadzenia wstępnej analizy ryzyka naruszenia praw i wolności osób, których dane dotyczą, i przekazania wyników tej analizy do Administratora w ciągu 36 godzin od wykrycia zdarzenia stanowiącego naruszenie ochrony danych osobowych na adres poczty elektronicznej określony w pkt. 1 4),
c) przekazania Administratorowi – na jego żądanie – wszystkich informacji niezbędnych do zawiadomienia osoby, której dane dotyczą, zgodnie z art. 34 ust. 3 RODO, w ciągu 48 godzin od wykrycia zdarzenia stanowiącego naruszenie ochrony danych osobowych.
6.3. Przetwarzający zobowiązuje się pomagać Administratorowi poprzez odpowiednie środki techniczne i organizacyjne, w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w art. 15-22 RODO. W szczególności Przetwarzający zobowiązuje się – na żądanie Administratora – do przygotowania i przekazania Administratorowi informacji potrzebnych do spełnienia żądania osoby, której dane dotyczą, w ciągu 3 dni od dnia otrzymania żądania Administratora.
6.4. Przetwarzający zobowiązuje się stosować się do ewentualnych wskazówek lub zaleceń, wydanych przez organ nadzoru lub unijny organ doradczy zajmujący się ochroną danych osobowych, dotyczących przetwarzania danych osobowych, w szczególności w zakresie stosowania RODO.
6.5. Przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania powierzonych danych osobowych przez Przetwarzającego, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania powierzonych danych osobowych, skierowanej do Przetwarzającego, a także o wszelkich kontrolach i inspekcjach dotyczących przetwarzania powierzonych danych osobowych przez Przetwarzającego, w szczególności prowadzonych przez organ nadzorczy.
7. PODPOWIERZENIE PRZETWARZANIA
7.1. Administrator dopuszcza możliwość podpowierzenia przetwarzania powierzonych danych osobowych podwykonawcom Przetwarzającego (tzw. subprocesorom). Jeżeli Przetwarzający zamierza podpowierzyć przetwarzanie danych osobowych swoim podwykonawcom, musi uprzednio poinformować Administratora o zamiarze podpowierzenia oraz o tożsamości (nazwie) podmiotu, któremu ma zamiar podpowierzyć przetwarzanie danych, a także o charakterze podpowierzenia, zakresie danych, celu i czasie trwania podpowierzenia. O ile Administrator nie wyrazi sprzeciwu wobec podpowierzenia w terminie 7 dni od daty zawiadomienia, Przetwarzający uprawniony będzie do dokonania podpowierzenia.
7.2. W przypadku podpowierzenia przetwarzania danych osobowych, podpowierzenie przetwarzania będzie mieć za podstawę umowę, na podstawie której podwykonawca (subprocesor) zobowiąże się do wykonywania tych samych obowiązków, które na mocy niniejszej Umowy Powierzenia nałożone są na Przetwarzającego. Umowa będzie zawarta w tej same formie co niniejsza Umowa Powierzenia.
7.3. Administratorowi będą przysługiwały uprawnienia wynikające z umowy podpowierzenia bezpośrednio wobec podwykonawcy (subprocesora). W przypadku wypowiedzenia lub rozwiązania umowy podpowierzenia, Przetwarzający poinformuje o tym fakcie Administratora w terminie 3 dni od wypowiedzenia lub rozwiązania umowy.
7.4. Przetwarzający nie może przekazywać powierzonych mu przetwarzania danych osobowych do podmiotów znajdujących się w państwach spoza Europejskiego Obszaru Gospodarczego.
8. AUDYT PRZETWARZAJĄCEGO
8.1. Administrator jest uprawniony do weryfikacji przestrzegania zasad przetwarzania danych osobowych wynikających RODO oraz niniejszej Umowy Powierzenia przez Przetwarzającego, poprzez prawo żądania udzielenia wszelkich informacji dotyczących powierzonych danych osobowych.
8.2. Administrator ma także prawo przeprowadzania audytów lub inspekcji Przetwarzającego w zakresie zgodności operacji przetwarzania z prawem i z Umową Powierzenia. Audyty lub inspekcje, o których mowa w zdaniu poprzedzającym, mogą być przeprowadzane przez podmioty trzecie upoważnione przez Administratora.
8.3. Administrator zobowiązuje się do poinformowania Przetwarzającego o zamiarze przeprowadzenia audytu z min. 3 dniowym wyprzedzeniem. Strony postanawiają, że audyt może odbywać się w dni robocze, tj. od poniedziałku do piątku z wyłączeniem dni ustawowo wolnych od pracy w godzinach od 8:00 do 15:00.
8.4. Przetwarzający zobowiązuje się niezwłocznie informować Administratora, jeżeli zdaniem Przetwarzającego wydane jemu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych.
9. ZAKOŃCZENIE POWIERZENIA PRZETWARZANIA
Po zakończeniu świadczenia usług związanych z przetwarzaniem danych osobowych Przetwarzający zależnie od decyzji Administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie.
10. POSTANOWIENIA KOŃCOWE
10.1. Umowa zostaje zawarta na czas trwania Umowy Głównej, z zastrzeżeniem, że każdej ze Stron przysługuje prawo jej wcześniejszego rozwiązania z zachowaniem miesięcznego okresu wypowiedzenia.
10.2. Administrator ma prawo wypowiedzieć Umowę w trybie natychmiastowym, w przypadku rażącego naruszenia postanowień Umowy przez Przetwarzającego, który:
a) wykorzystał dane osobowe w sposób niezgodny z Umową, w szczególności przetwarzał je dla własnych celów lub celów innych podmiotów, a także celów niezgodnych z powszechnie obowiązującymi przepisami prawa lub postanowieniami niniejszej Umowy;
b) wykonuje Umowę niezgodnie z obowiązującymi w tym zakresie przepisami prawa lub instrukcjami Administratora w tym zakresie;
c) nie zaprzestał niewłaściwego przetwarzania danych osobowych mimo xxxxxxxxxxx xxxxxxxx Administratora do usunięcia naruszeń i bezskutecznego upływu wyznaczonego terminu 14 dni na zaniechanie naruszeń.
10.3. Z tytułu wykonywania niniejszej Umowy Przetwarzającemu nie przysługuje dodatkowe wynagrodzenie, ponad to, które wynika z Umowy Głównej.
10.4. Wszelkie zmiany niniejszej Umowy wymagają formy pisemnej pod rygorem nieważności.
10.5. Spory wynikłe z tytułu Umowy będzie rozstrzygał Sąd właściwy dla miejsca siedziby Administratora.
10.6. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
……………………………….. ……………………………………..
Administrator Przetwarzający