Załącznik nr 8 do SIWZ UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH – WZÓR
Załącznik nr 8 do SIWZ UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH – WZÓR
zawarta w dniu we Wrocławiu pomiędzy:
„NOWY SZPITAL WOJEWÓDZKI” Spółka z ograniczoną odpowiedzialnością
z siedzibą: xx. Xxxxxxx 00, 00-000 Xxxxxxx, wpisaną do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla Wrocławia-Fabrycznej we Wrocławiu, VI Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000353252; wysokość kapitału zakładowego: 000 000 000 zł, Regon: 021173201, NIP: 000-00-00-000,
reprezentowaną przez:
…………………………………..,
zwaną dalej „Administratorem danych” lub „Administratorem”
a
………………………………………………………
z siedzibą: …………………………………………, zarejestrowanym w ……………...........................
pod numerem …………………………………….., Regon: ………………., NIP: ……………………..
reprezentowaną przez:
1) ………………………………………………………..
2) ………………………………………………………..
zwanym dalej „Podmiotem przetwarzającym” lub „Procesorem”
zwanymi łącznie „Stronami”.
Definicje
§ 1
Użyte w niniejszej umowie wyrażenia mają następujące znaczenie:
1) „RODO” – oznacza: rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1);
2) „Umowa” – oznacza Umowę Generalną zawartą dnia ….. pomiędzy Stronami, której przedmiotem jest ubezpieczenie „Nowego Szpitala Wojewódzkiego” Sp. z o.o. w zakresie:
a) dobrowolnego ubezpieczenia odpowiedzialności cywilnej z tytułu prowadzonej działalności i posiadanego mienia,
b) ubezpieczenia mienia od wszystkich ryzyk,
c) ubezpieczenia sprzętu elektronicznego w systemie wszystkich ryzyk.
3) „Umowa Powierzenia” – oznacza: niniejszą umowę.
Powierzenie przetwarzania danych osobowych
§ 2
1. Umowa Powierzenia zostaje zawarta w związku z łączącą Strony Umową Generalną zawartą dnia ………., której przedmiotem jest ubezpieczenie „Nowego Szpitala Wojewódzkiego” Sp. z o.o. w zakresie:
1) dobrowolnego ubezpieczenia odpowiedzialności cywilnej z tytułu prowadzonej działalności i posiadanego mienia,
2) ubezpieczenia mienia od wszystkich ryzyk,
3) ubezpieczenia sprzętu elektronicznego w systemie wszystkich ryzyk.
2. W celu wykonania Umowy Administrator danych powierza Podmiotowi przetwarzającemu, w trybie art. 28 RODO dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej Umowie Powierzenia.
3. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą Umową Powierzenia, RODO oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
4. Podmiot przetwarzający oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi RODO.
5. Powierzenie przetwarzania danych następuje na okres obowiązywania niniejszej Umowy Powierzenia.
Zakres i cel przetwarzania danych
§ 3
1. W trybie art. 28 ust. 3 RODO Administrator powierza Podmiotowi Przetwarzającemu do przetwarzania dane osobowe wskazane w ust. 2 niniejszego paragrafu Umowy Powierzenia.
2. Podmiot przetwarzający zobowiązuje się do przetwarzania danych osobowych następujących kategorii osób, których dane dotyczą:
1) pracownicy,
2) osoby pracujące na umowach kontraktowych u Administratora,
3) podwykonawców,
4) pacjentów w systemach informatycznych i dokumentacji papierowej,
5) osoby wskazane do wykonania umowy ubezpieczenia lub innej umowy zawartej przez Administratora mającej związek z powstaniem szkody lub w inny sposób związana z likwidacją szkody,
6) osoby zgłaszające roszczenia przeciwko Administratorowi,
7) świadkowie zdarzeń objętych ochroną ubezpieczeniową.
3. Zakres powierzonych Podmiotowi przetwarzającemu do przetwarzania danych osobowych obejmuje:
1) dane zwykłe (imię, nazwisko, adres, numer telefonu, adres e-mail, xxxx dotyczące stanowiska lub miejsca pracy),
2) dane szczególne (dane biometryczne, dane dotyczące stanu zdrowia).
4. Podmiot przetwarzający ma prawo wykonywać na powierzonych mu danych następujące operacje: utrwalać, przechowywać, zbierać, usuwać, opracowywać, organizować, porządkować, modyfikować, pobierać, przeglądać, ujawniać przez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie niezbędne do realizacji Umowy, łączyć, usuwać lub niszczyć. Przetwarzanie danych osobowych przez Podmiot przetwarzający odbywać się będzie w formie papierowej oraz w formie elektronicznej przy wykorzystaniu systemów informatycznych oraz poczty elektronicznej.
Oświadczenia i obowiązki procesora
§ 4
1. Procesor oświadcza, że posiada zasoby infrastrukturalne, doświadczenie, wiedzę oraz wykwalifikowany personel, w zakresie umożliwiającym należyte wykonanie Umowy Powierzenia, zgodnie z obowiązującymi przepisami prawa. W szczególności Procesor oświadcza, że znane mu są zasady przetwarzania i zabezpieczenia danych osobowych wynikające z RODO.
2. Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia.
3. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
4. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy.
5. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy(o której mowa w art.
28 ust 3 pkt b Rozporządzenia) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.
6. Podmiot przetwarzający zobowiązuje się do prowadzenia ewidencji osób, które zostały przez niego upoważnione do przetwarzania danych osobowych.
7. Podmiot przetwarzający po zakończeniu obsługi brokerskiej oraz upływie okresu przedawnienia roszczeń wynikających z tej obsługi usuwa dane osobowe przekazane przez Administratora oraz wszystkie ich kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie tych danych. Administrator może złożyć oświadczenie o zwrocie powierzonych danych w sytuacji, o której mowa w zdaniu poprzednim.
8. Podmiot przetwarzający uwzględniając charakter przetwarzania oraz dostępne mu informacje pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32-36 Rozporządzenia.
9. Podmiot przetwarzający biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia.
Prawo kontroli
§ 5
1. Administrator danych zgodnie z art. 28 ust. 3 pkt h) Rozporządzenia ma prawo żądać od Podmiotu przetwarzającego wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w niniejszej umowie, a Podmiot przetwarzający ma obowiązek informować Administratora, jeżeli w jego ocenie wydane przez Administratora polecenie stanowi naruszenie Rozporządzenia lub innych przepisów o ochronie danych osobowych.
2. Administrator ma prawo kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy. Kontrola może być wykonywana przez Administratora lub audytora upoważnionego przez Administratora. Podmiot przetwarzający ma obowiązek umożliwienia przeprowadzenia kontroli, w tym audytu (w szczególności inspekcji).
3. Administrator danych realizować będzie prawo kontroli w godzinach pracy Podmiotu przetwarzającego i z minimum 7 dniowym jego uprzedzeniem.
4. Osoby wyznaczone przez Administratora do przeprowadzenia kontroli są uprawnione do wstępu do pomieszczeń, w których przetwarzane są powierzone przez Administratora dane osobowe oraz do wglądu do danych osobowych powierzonych do przetwarzania, jak również do żądania od Podmiotu przetwarzającego udzielania informacji dotyczących przebiegu przetwarzania powierzonych danych osobowych.
5. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora danych nie dłuższym niż 14 dni.
Dalsze powierzenie danych do przetwarzania
§ 6
1. Podmiot przetwarzający może powierzyć dane osobowe objęte niniejszą Umową Powierzenia do dalszego przetwarzania podwykonawcom jedynie w celu wykonania umowy po uzyskaniu uprzedniej, pisemnej zgody Administratora danych.
2. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora danych chyba, że obowiązek taki nakłada na Podmiot przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający.
W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
3. Podwykonawca, o którym mowa w ust. 1 niniejszego paragrafu Umowy Powierzenia winien spełniać te same gwarancje i obowiązki jakie zostały nałożone na Podmiot przetwarzający w niniejszej Umowie Powierzenia.
4. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się ze spoczywających na podwykonawcy obowiązków w zakresie należytej ochrony danych.
Odpowiedzialność Podmiotu przetwarzającego
§ 7
1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy Powierzenia, a w szczególności za nieuprawnione udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym i innym osobom trzecim.
2. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w Umowie Powierzenia, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora danych.
3. Podmiot przetwarzający ponosili pełną odpowiedzialność i zobowiązuje się do pokrycia wszelkich kosztów w tym także ewentualnych odszkodowań i zadośćuczynień na rzecz osób trzecich i strat poniesionych przez Administratora, w przypadku niedotrzymania i nienależytego wykonania przez Podmiot przetwarzający, jego przedstawicieli, pracowników, współpracowników lub zatrudnionych wykonawców czy podwykonawców, a w szczególności podmiotów które świadczą na rzecz Podmiotu przetwarzającego usługi związane z podpowierzeniem przetwarzania danych osobowych, obowiązku przetwarzania danych osobowych wynikającego z Umowy Powierzenia i jej postanowień lub obowiązków wynikających z RODO.
Czas obowiązywania Umowy Powierzenia
§ 8
Umowa Powierzenia obowiązuje od dnia jej zawarcia przez czas zawarcia Umowy tj. do dnia
31. marca 2022 r.
Rozwiązanie Umowy Powierzenia
§ 9
Administrator danych może rozwiązać Umowę Powierzenia ze skutkiem natychmiastowym, gdy Podmiot przetwarzający:
1) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie;
2) przetwarza dane osobowe w sposób niezgodny z Umową Powierzenia;
3) powierzył przetwarzanie danych osobowych innemu podmiotowi bez uprzedniej pisemnej zgody Administratora danych.
Zasady zachowania poufności
§ 10
1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji,
danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora danych i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („informacje poufne”).
2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy informacji poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez uprzedniej pisemnej zgody Administratora danych w innym celu niż wykonanie Umowy lub Umowy Powierzenia, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy lub Umowy Powierzenia.
Postanowienia końcowe
§11
1. Umowa Powierzenia została sporządzona w dwóch jednobrzmiących egzemplarzach – po jednym egzemplarzu dla każdej ze Stron.
2. W sprawach nieuregulowanych zastosowanie będą miały przepisy ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (tekst jednolity: Dz. U. z 2018 r. poz. 1025 z późniejszymi zmianami) oraz RODO.
3. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej umowy będzie sąd właściwy Administratora.