ZASADY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Załącznik nr 6
do Regulaminu odbywania w Uniwersyteckim Centrum Klinicznym staży kierunkowych do specjalizacji przez lekarzy zatrudnionych w innych podmiotach leczniczych
Załącznik nr 2 i 3 do Porozumienia
ZASADY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Strony, mając świadomość znaczenia ochrony praw dotyczących prywatności Danych osobowych, w tym rangi obowiązujących przepisów dotyczących ochrony tych danych, a w szczególności ogólnego rozporządzenia o ochronie danych osobowych (RODO), a także iż wykonanie obowiązków wynikających z łączącej Strony Umowy jest związane z wykonaniem przez Podmiot przetwarzający czynności przetwarzania Danych osobowych należących do Administratora, zgodnie postanawiają, co następuje:
§ 1
Definicje
Użyte w niniejszym dokumencie określenia oznaczają:
1. RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE” (tzw. ogólne rozporządzenie o ochronie danych osobowych).
2. Dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”), możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
3. Przetwarzanie danych – operacja lub zestaw operacji wykonywanych na Danych osobowych lub zestawach Danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
4. Profilowanie – dowolna forma zautomatyzowanego przetwarzania Danych osobowych, które polega na wykorzystaniu Danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
5. Pseudonimizacja – przetworzenie Danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
6. Administrator – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania Danych osobowych. Jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony Administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.
7. Podmiot przetwarzający – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza Dane osobowe w imieniu Administratora. Podmiotem przetwarzającym jest Uniwersyteckie Centrum Kliniczne (UCK).
8. Podprzetwarzający – podwykonawca przetwarzający dane, któremu Podmiot przetwarzający powierzył wykonanie czynności w zakresie Przetwarzania danych w imieniu Administratora.
9. Organ nadzorczy – niezależny organ publiczny ustanowiony przez państwo członkowskie Unii Europejskiej zgodnie z art. 51 RODO.
1
10. Dokument – dowolny nośnik, tradycyjny lub elektroniczny, na którym zapisane są Dane osobowe lub informacje o ich zabezpieczeniu.
11. Pracownik – osoba świadcząca pracę na podstawie stosunku pracy lub stosunku cywilnoprawnego.
12. Umowa – łącząca Strony umowa o świadczenie usługi/usług.
§ 2
Przedmiot, charakter, cel i czas przetwarzania danych
1. Przedmiot: Niniejszy dokument ma zastosowanie do wszelkich czynności przetwarzania Danych osobowych niezbędnych do prawidłowego wykonania obowiązków wynikających z łączącej Strony Umowy, w realizacji których Podmiot przetwarzający i jego ewentualni podwykonawcy przetwarzają powierzone Dane osobowe. Niniejszy dokument w sposób szczegółowy reguluje, wynikające z łączącej Strony Umowy, obowiązki Stron zakresie ochrony tych danych.
2. Charakter i cel: Na podstawie art. 28 RODO, Administrator, w którego roli występuje
…………………………………………………………………………………………………………………………………………………………………….. powierza Podmiotowi przetwarzającemu przetwarzanie Danych osobowych w imieniu i na rzecz Administratora, w zakresie, w celu i na warunkach opisanych w Umowie, a ten zobowiązuje się je przetwarzać w ww. granicach.
3. Czas: Czas przetwarzania Danych osobowych odpowiada okresowi niezbędnemu dla realizacji Umowy, tj. do dnia zwrotu przez Podmiot przetwarzający Administratorowi wszystkich powierzonych Danych osobowych oraz kopii tych danych.
§ 3
Rodzaj powierzonych danych osobowych i kategorie osób, których powierzone dane dotyczą
1. Powierzone do przetwarzania Dane osobowe stanowią dane niezbędne dla realizacji łączącej Strony Umowy.
2. Kategorie osób, których Dane osobowe dotyczą, obejmują: dane lekarza/y odbywających staże kierunkowe do specjalizacji.
3. Rodzaje Danych osobowych powierzonych do przetwarzania obejmują:
a) imię i nazwisko,
b) dane kontaktowe,
c) inne dane zawarte w porozumieniu, w tym informacje o zatrudnieniu w Podmiocie kierującym.
§ 4
Sposób wykonania umowy w zakresie przetwarzania danych osobowych – podstawowe informacje
1. Administrator oświadcza, iż powierza Podmiotowi przetwarzającemu wyłącznie Dane osobowe, do których przetwarzania jest uprawniony (zgromadził zgodnie z obowiązującymi przepisami prawa), a także iż ponosi wyłączną odpowiedzialność za środki, za pomocą których uzyskał powierzone Dane osobowe.
2. Podmiot przetwarzający zobowiązuje się do przetwarzania powierzonych do przetwarzania Danych osobowych zgodnie z niniejszą Umową, przepisami o ochronie Danych osobowych, w tym zwłaszcza RODO, a także innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których te dane dotyczą.
3. Podmiot przetwarzający nie decyduje o celach i środkach przetwarzania danych. Podmiot przetwarzający przetwarza Dane osobowe wyłącznie na podstawie udokumentowanego polecenia (udokumentowanych instrukcji) Administratora.
§ 5
Poufność i bezpieczeństwo przetwarzania danych
1. Podmiot przetwarzający oświadcza, iż mając na względzie wymagania obowiązującego prawa i niniejszej Umowy, przy uwzględnieniu aktualnego stanu wiedzy technicznej, kosztów wdrożenia, charakteru, kontekstu i celu przetwarzania Danych osobowych, a także stopnia prawdopodobieństwa wystąpienia ryzyka i skutków jego zmaterializowania się w odniesieniu do praw i wolności osób fizycznych, a w szczególności ryzyka powstałego w wyniku przetwarzania tych danych, stosuje wszelkie niezbędne środki umożliwiające
przetwarzanie powierzonych Danych osobowych zgodnie z przepisami prawa powszechnie obowiązującego, a zwłaszcza środki, o których mowa w art. 32 RODO, w tym, w szczególności:
a) będzie wykonywał zobowiązania wynikające z niniejszej Umowy z najwyższą starannością w celu zabezpieczenia interesu prawnego, organizacyjnego i technicznego Administratora w zakresie przetwarzania powierzonych Danych osobowych,
b) dysponuje środkami technicznymi i organizacyjnymi zapewniającymi prawidłowe, odpowiednie do zagrożeń oraz rodzaju powierzonych danych, wykonanie niniejszej Umowy oraz właściwą ochronę przesyłanych, przechowywanych i/lub w inny sposób przetwarzanych Danych osobowych, a zwłaszcza wymaganymi na mocy art. 32 RODO środkami zabezpieczającymi te dane przed ich celowym bądź przypadkowym zniszczeniem, uszkodzeniem, utratą, zmianą, nieuprawnionym ujawnieniem lub udostępnieniem osobom nieuprawnionym, zabraniem przez osobę nieuprawnioną i/lub innym przetwarzaniem naruszeniem ww. przepisów prawa,
c) zachowa w poufności wszelkie powierzone do przetwarzania Dane osobowe oraz informacje o sposobach ich zabezpieczania, w tym pisemnie zobowiąże do jej zachowania wszystkie dopuszczone do ich przetwarzania przez siebie osoby/podmioty - Pracowników Przetwarzającego oraz ewentualnych jego podwykonawców, także po zaprzestaniu ich przetwarzania (np. na skutek rozwiązania/wygaśnięcia Umowy), jak i po ustaniu ich zatrudnienia (lub będą podlegały z mocy prawa ww. obowiązkowi dotyczącemu zachowania poufności),
d) do przetwarzania Danych osobowych zostaną dopuszczone wyłącznie osoby pisemnie upoważnione do ich przetwarzania przez Podmiot przetwarzający, które zostały uprzednio przez niego przeszkolone w zakresie ochrony tych danych (Administrator umocowuje Podmiot przetwarzający do nadawania i odwoływania w jego imieniu upoważnień do przetwarzania powierzonych Danych osobowych),
e) prowadzi ewidencję osób upoważnionych do przetwarzania Danych osobowych,
f) nie będzie tworzył i posiadał jakichkolwiek kopii dokumentów zawierających powierzone Dane osobowe, w tym formularzy lub baz danych zapisanych w postaci dokumentów papierowych lub elektronicznych, w szczególności w poczcie elektronicznej, na dyskach komputerowych i arkuszach kalkulacyjnych innych, niż niezbędne do realizacji Umowy,
g) nie wykorzysta powierzonych Danych osobowych dla celów innych niż określone w Umowie.
§ 6
Podpowierzenie przetwarzania danych osobowych
1. Podmiot przetwarzający jest uprawniony do powierzenia wykonania realizacji określonych zadań wynikających z niniejszej Umowy (tj. czynności w zakresie Przetwarzania danych w imieniu Administratora) innemu podwykonawcy przetwarzającemu dane / innym podwykonawcom przetwarzającym dane (tzw. Podprzetwarzającym) (tzw. podpowierzenie przetwarzania danych).
2. Podpowierzenie przetwarzania danych osobowych możliwe jest wyłącznie na podstawie odrębnej umowy, sporządzonej w formie pisemnej.
3. Podprzetwarzający mogą przetwarzać powierzone przez Administratora Dane osobowe wyłącznie w celu realizacji czynności w odniesieniu do których Dane osobowe zostały przekazane Podmiotowi przetwarzającemu i nie mogą przetwarzać tych Danych osobowych w żadnym innym celu.
4. Warunkiem dalszego podpowierzenia Danych osobowych jest uprzednie powiadomienie Administratora o tym fakcie. Powiadomienie może być dokonane w formie pisemnej lub elektronicznej na adres
……………………………………. Uprawnienie to nie wyłącza możliwości wyrażenia przez Administratora sprzeciwu wobec dalszego powierzenia.
5. Podmiot przetwarzający oświadcza, iż w przypadku podpowierzenia przetwarzania Danych osobowych pisemnie zobowiąże każdego Podprzetwarzającego do zapewnienia co najmniej takiego stopnia ochrony Danych osobowych, jaki określono w niniejszym dokumencie.
§ 7
Wsparcie
1. Podmiot przetwarzający zobowiązany jest, za pośrednictwem odpowiednich środków technicznych i organizacyjnych, do zapewnienia, w miarę możliwości, pomocy Administratorowi w realizacji praw osoby, której dane dotyczą, w tym do wsparcia w zakresie odpowiadania na wnioski o wykonanie praw, o których mowa w art. 12-23 RODO.
2. Podmiot przetwarzający zobowiązany jest, za pośrednictwem odpowiednich środków technicznych i organizacyjnych, do wsparcia Administratora w realizacji obowiązków dotyczących odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw, w tym - bez zbędnej zwłoki - poinformuje Administratora o wniosku osoby, której dane dotyczą, o wykonanie przysługujących jej praw, a w szczególności odnoszących się do prawa dostępu do danych osobowych, ich poprawiania, żądania ich usunięcia („prawo do bycia zapomnianym”), żądania ograniczenia ich przetwarzania, przenoszenia danych, prawa do wnoszenia sprzeciwu lub prawa do niepodlegania automatycznemu procesowi indywidualnego podejmowania decyzji.
3. Podmiot przetwarzający zobowiązany jest, za pośrednictwem odpowiednich środków technicznych i organizacyjnych, do wsparcia Administratora w zakresie wykonania przez Administratora ciążących na nim obowiązków dotyczących:
a) art. 32 RODO (zapewnienie bezpieczeństwa danych),
b) art. 33 RODO (zgłaszanie Naruszeń ochrony danych osobowych Organowi nadzorczemu),
c) art. 34 RODO (informowanie o Naruszeniu ochrony danych osobowych osoby, której dane dotyczą),
d) art. 35 RODO (ocena wpływu na ochronę danych),
e) art. 36 RODO (uprzednia konsultacja z Organem nadzorczym).
4. Podmiot przetwarzający oświadcza, iż dysponuje odpowiednimi środkami technicznymi i organizacyjnymi, umożliwiającymi realizację obowiązków, o których mowa powyżej (wsparcia).
§ 8
Usunięcie lub zwrot danych
1. O ile prawo Unii Europejskiej lub prawo państwa członkowskiego Unii Europejskiej nie przewiduje wymogu przechowywania Danych osobowych, niezwłocznie po zakończeniu świadczenia usług związanych z przetwarzaniem Danych osobowych, jednak nie później niż w ciągu 14 dni, Podmiot przetwarzający zwróci lub usunie w sposób trwały, uniemożliwiający odczyt, powierzone Dane osobowe oraz usunie ich wszystkie istniejące kopie. Zwrot lub usunięcie Danych osobowych nastąpi według wyboru Administratora.
§ 9
Zgłoszenie naruszenia ochrony danych. Prawo do informacji i audytu/kontroli
1. W odniesieniu do powierzonych do przetwarzania Danych osobowych, Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o:
a) jakichkolwiek okolicznościach, które mogłyby mieć negatywny wpływ na realizację Umowy i bezpieczeństwo powierzonych Danych osobowych, a zwłaszcza o wszelkich przypadkach naruszeń ochrony Danych osobowych, w tym naruszeń obowiązków Podmiotu przetwarzającego (np. dotyczących naruszenia tajemnicy tych danych lub ich niewłaściwego wykorzystania),
b) o ile nie naruszy to przepisów prawa powszechnie obowiązującego, wszelkich czynnościach i postępowaniach z własnym udziałem, prowadzonych w zakresie powierzonych do przetwarzania Danych osobowych przez organy i instytucje państwowe, w tym organy administracji publicznej i organy wymiaru sprawiedliwości, a w szczególności przez Organ nadzorczy oraz prawnie umocowanych żądaniach udostępnienia Danych osobowych właściwemu organowi,
c) wszelkich żądaniach otrzymanych od osób, których Dane osobowe zostały powierzone do przetwarzania.
2. W przypadku stwierdzenia naruszenia ochrony powierzonych Danych osobowych, Podmiot przetwarzający jest zobowiązany niezwłocznie poinformować o tym fakcie Administratora wraz z wszelkimi informacjami niezbędnymi Administratorowi do zgłoszenia naruszenia ochrony danych Organowi Nadzorczemu, o którym mowa w art. 33 ust. 3 RODO. Zgłoszenie takie winno odbywać się na adres ……………………………………………….
i zawierać, w szczególności, informacje na temat:
a) charakteru naruszenia ochrony Danych osobowych,
b) rodzaju Danych osobowych i kategorii osób, których Dane dotyczą,
c) przybliżonej liczbie wpisów,
d) możliwych konsekwencjach naruszenia, w tym konsekwencjach dla osoby, której Dane osobowe dotyczą,
e) zastosowanych środków w celu zminimalizowania ewentualnych negatywnych skutków naruszenia,
f) rekomendacje dalszego postępowania w tym zakresie.
3. Podmiot przetwarzający zobowiązany jest do niezwłocznego przekazania Administratorowi kopii dokumentacji, odnoszącej się do przypadków, o których mowa w ust. 1.
4. Podmiot przetwarzający zobowiązuje się do niezwłocznego udzielenia Administratorowi, na każde jego żądanie, informacji na temat przetwarzania powierzonych do przetwarzania Danych osobowych, w tym na temat zastosowanych przy przetwarzaniu Danych osobowych środków technicznych i organizacyjnych, w tym informacji niezbędnych do wykazania zgodności z obowiązkami przewidzianymi w art. 28 RODO. Udzielenie informacji nastąpi w sposób wybrany przez Administratora – w formie pisemnej lub ustnej (i/lub opcjonalnie – na wniosek Administratora – w formie elektronicznej).
5. Podmiot przetwarzający umożliwi Administratorowi, podmiotowi przez niego upoważnionemu lub osobie przez niego upoważnionej (w tym Inspektorowi Ochrony Danych powołanemu przez Administratora lub będącego stroną trzecią niezależnego audytora) dokonywanie audytu/kontroli zgodności przetwarzania powierzonych do przetwarzania Danych osobowych z wymaganiami prawa, a w szczególności pod kątem zgodności z obowiązkami przewidzianymi w art. 28 RODO, a także z niniejszą Umową (w formie ankiet i/lub inspekcji) – w tym:
a) Podmiot przetwarzający umożliwi przeprowadzenie Administratorowi lub podmiotowi przez niego upoważnionemu dokonywanie audytów/kontroli, w tym audytów/kontroli w miejscach, w których przetwarzane są powierzone Dane osobowe (Podmiot przetwarzający umożliwi w szczególności wstęp do pomieszczeń, w których przetwarzane są powierzone Dane osobowe, a także przeprowadzenie niezbędnych dla wykazania zgodności czynności, w tym oględzin urządzeń, systemów teleinformatycznych oraz wszelkich nośników dotyczących przetwarzania powierzonych Danych osobowych),
b) audyty/kontrole, o których mowa powyżej, mogą być przeprowadzane przez będącą stroną trzecią osobę / będący stroną trzecią podmiot upoważnioną/upoważniony przez Administratora pod warunkiem jej/jego zobowiązania do zachowania poufności w sposób co najmniej równie rygorystyczny jak ewentualne zobowiązanie do zachowania poufności ciążące na Administratorze na mocy niniejszej Umowy,
c) Podmiot przetwarzający ma prawo do odmowy udzielenia pisemnej informacji lub wyjaśnień oraz udzielenia dostępu do miejsc przetwarzania danych osobowych w zakresie, w którym audyt mógłby zagrażać ujawnieniu innych Danych osobowych, aniżeli przetwarzanych przez Podmiot przetwarzający na mocy niniejszej Umowy. W takim przypadku Podmiot przetwarzający zobowiązany jest w sposób jasny i wyczerpujący, w formie pisemnej, uzasadnić swoje stanowisko.
6. Administrator zgłasza do Podmiotu przetwarzającego wniosek o przeprowadzenie audytu/kontroli o charakterze okresowym w miejscu, w którym przetwarzane są powierzone Dane osobowe (tzw. inspekcji) ze stosownym wyprzedzeniem (na co najmniej 7 dni kalendarzowych przez rozpoczęciem inspekcji). Wniosek o przeprowadzenie inspekcji zawiera wskazanie zakresu, harmonogramu i czasu trwania audytu. Na wniosek Podmiotu przetwarzającego, za zgodą Administratora, zakres, harmonogram i czas trwania audytu mogą ulec zmianie.
7. Podmiot przetwarzający zobowiązany jest zastosować się do zaleceń Administratora, dotyczących poprawy jakości zabezpieczenia powierzonych do przetwarzania Danych osobowych oraz sposobu ich przetwarzania, wynikających z przeprowadzonych audytów/kontroli.
§ 10
Odpowiedzialność
1. Administrator ponosi odpowiedzialność za przestrzeganie przepisów prawa w zakresie ochrony danych osobowych, w tym RODO. Powyższe nie wyłącza odpowiedzialności Podmiotu przetwarzającego za przetwarzanie powierzonych do przetwarzania Danych osobowych niezgodnie z ww. przepisami prawa i niniejszą Umową.
2. Podmiot przetwarzający ponosi odpowiedzialność za szkody powstałe w związku z nieprzestrzeganiem przepisów prawa (w tym RODO) oraz za przetwarzanie powierzonych do przetwarzania Danych osobowych niezgodnie z Umową.
§ 11
Postanowienia końcowe
1. Z tytułu wykonywania świadczeń związanych z powierzeniem przetwarzania Danych osobowych, Podmiotowi przetwarzającemu nie przysługuje dodatkowe wynagrodzenie lub inne świadczenia (np. zwrot kosztów, wydatków, nakładów).
2. Powierzenie przetwarzania Danych osobowych, o którym mowa powyżej, nie powoduje przejścia praw lub udzielenia uprawnień Podmiotowi przetwarzającemu do bazy danych Administratora zawierającej Dane osobowe, a także nie powoduje zmian w zakresie praw majątkowych i innych praw własności intelektualnej związanych z tą bazą. Administrator pozostaje wyłącznym właścicielem bazy Danych osobowych.
3. W sprawach nieuregulowanych niniejszym dokumentem mają zastosowanie przepisy prawa powszechnie obowiązującego, w tym zwłaszcza przepisy RODO oraz inne obowiązujące przepisy o ochronie Danych osobowych, a także przepisy Kodeksu cywilnego.
w imieniu Administratora w imieniu Xxxxxxxx przetwarzającego (UCK)