UMOWA
Załącznik do Umowy z dnia …………………...
UMOWA
powierzenia przetwarzania danych osobowych
Zawarta w dniu roku w Zakopanem pomiędzy:
Szpitalem Powiatowym im. dr Xxxxxx Xxxxxxxxxxxxxx w Zakopanem ul. Kamieniec 10, 34-500 Zakopane wpisanym do Rejestru Podmiotów Wykonujących Działalność Leczniczą prowadzonego przez Wojewodę Małopolskiego pod Nr 000000006062, wpisanym do Krajowego Rejestru Sądowego pod numerem KRS: 0000010609, NIP: 000-00-00-000; REGON: 000311510,
reprezentowanym przez:
Dyrektora – Xxxxxx Xxxxxx
zwanym dalej Udzielającym zamówienia, a
…………………………………….. z siedzibą przy ul. …………………….. NIP ………………..
REGON ………………
reprezentowany przez
……………………………………. zwanym dalej Przyjmującym zamówienie. łącznie zwanych “Stronami“
§ 1
Przedmiot umowy
W związku z realizacją Umowy Głównej z dnia ………….. której przedmiotem jest udzielanie przez lekarzy szpitalnych oraz ambulatoryjnych świadczeń zdrowotnych zabezpieczających funkcje i zadania Szpitala Powiatowego im. dr Xxxxxx Xxxxxxxxxxxxxx w Zakopanem w zakresie urologii:
- Kod CPV: 85110000-3 Usługi szpitalne i podobne, 85143000-3 Usługi ambulatoryjne,
- Świadczenia zdrowotne wymienione w pkt 1 winny być realizowane przez lekarzy specjalistów ze specjalizacją zgodną z zakresem udzielanych świadczeń oraz obowiązującymi przepisami w tym zakresie wydanymi przez Narodowy Fundusz Zdrowia oraz Ministerstwo Zdrowia, Udzielający zamówienia powierza Przyjmującym zamówienie dane osobowe na podstawie art. 28 Rozporządzenia Parlamentu Europejskiego Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (zwanym dalej „RODO”).
§ 2
Warunki przetwarzania
1. Szpital Powiatowy im. dr Xxxxxx Xxxxxxxxxxxxxx w Zakopanem oświadcza, że jest administratorem danych osobowych powierzonych do przetwarzania na podstawie niniejszej Umowy Powierzenia.
2. Podmiot Przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą Umową Powierzenia, Rozporządzeniem Parlamentu Europejskiego Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (zwanym dalej „RODO”), oraz krajowymi przepisami o ochronie danych osobowych, a także innymi przepisami prawa powszechnie obowiązującego, chroniącymi prawa osób, których dane będą przetwarzane (w tym, w odniesieniu do danych osobowych pacjentów, w szczególności ustawą z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, zwaną dalej „UPP”, ustawą z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia).
3. Administrator, na podstawie art. 28 RODO oraz art. 24 ust. 4 UPP (w odniesieniu do danych osobowych
pacjentów) powierza Podmiotowi Przetwarzającemu do przetwarzania, a Podmiot Przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe wyłącznie w celu i zakresie niezbędnym do realizacji przedmiotu Umowy Głównej oraz przez okres obowiązywania Umowy Głównej.
§ 3
Obowiązek zachowania tajemnicy
1. Podmiot Przetwarzający zobowiązuje się, że do przetwarzania danych osobowych zostaną dopuszczone wyłącznie osoby upoważnione przez niego do przetwarzania powierzonych danych osobowych, zgodnie z art. 29 RODO oraz przeszkolone z zakresu przepisów dotyczących ochrony danych osobowych.
2. Podmiot Przetwarzający zobowiąże osoby, o których mowa w ust. 1 do zachowania w tajemnicy przetwarzanych danych osobowych oraz sposobów ich zabezpieczenia w trakcie ich zatrudnienia jak również po jego ustaniu.
3. Zobowiązanie, o którym mowa w ust. 2 niniejszego paragrafu ma zastosowanie również po śmierci pacjenta w zakresie jakim obowiązek zachowania w tajemnicy danych osobowych wywodzi się z realizacji świadczeń zdrowotnych
§ 4
Obowiązki Podmiotu Przetwarzającego
Podmiot Przetwarzający zobowiązuje się:
1) przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Administratora. Za udokumentowane polecenie uznaje się usługi zlecone przez Administratora do wykonywania Podmiotowi Przetwarzającemu na podstawie Umowy Głównej;
2) przy przetwarzaniu powierzonych danych osobowych, zabezpieczać je poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzykom związanym z przetwarzaniem powierzonych danych osobowych, zgodnie z art. 32 RODO;
3) pomagać w miarę możliwości Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO;
4) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomagać Administratorowi wywiązać się z obowiązków określonych w art. 32-36 RODO;
5) bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od jego stwierdzenia, zawiadomić Administratora o wszelkich przypadkach naruszenia ochrony danych osobowych powierzonych do przetwarzania na podstawie niniejszej Umowy Powierzenia, zgodnie z art. 33 RODO. Zawiadomienie, o którym mowa w zdaniu poprzednim Podmiot Przetwarzający zobowiązany jest zgłosić drogą elektroniczną na adres email sekretariatu szpitala: xxxxxxxxxxx@xxxxxxx-xxxxxxxx.xx oraz na adres email Inspektora Ochrony Danych Administratora: xxx@xxxxxxx-xxxxxxxx.xx;
6) prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora zgodnie z wymaganiami art. 30 ust 2 RODO oraz pisemnie poinformować o tym Administratora, w terminie 30 dni od dnia rozpoczęcia przetwarzania powierzonych danych osobowych;
7) dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych;
8) udzielać Administratorowi wszelkiej niezbędnej pomocy podczas kontroli organu właściwego w sprawie ochrony danych osobowych. W szczególności do udostępnienia dokumentów i zapisów, umożliwienia wglądu w informacje przechowywane na nośnikach danych i w systemach informatycznych oraz udzielania Administratorowi stosownych do przedmiotu kontroli wyjaśnień;
9) wykonywać czynności, o których mowa w pkt. 8 niniejszego paragrafu bez zbędnej zwłoki jednak nie później niż w terminie wskazanym przez Administratora.
§ 5
Prawo kontroli
1. Administrator, zgodnie z art. 28 ust. 3 pkt h) RODO, ma prawo kontroli, czy Podmiot Przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełnia wymagania RODO i niniejszej Umowy Powierzenia.
2. Podmiot Przetwarzający zobowiązuje się:
udostępnić Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków spoczywających na Podmiocie Przetwarzającym;
− umożliwić Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji, współpracując przy podejmowanych działaniach. Administrator zawiadomi Podmiot Przetwarzający o zamiarze przeprowadzenia audytu co najmniej 5 dni przed rozpoczęciem czynności kontrolnych.
− zastosować ewentualne zalecenia pokontrolne Administratora dotyczące ochrony powierzonych danych osobowych oraz sposobu ich przetwarzania, o ile zalecenia te są zgodne z niniejszą Umową Powierzenia i obowiązującymi przepisami prawa.
− w przypadku stwierdzenia w wyniku czynności kontrolnych naruszeń postanowień niniejszej Umowy lub przepisów o ochronie danych osobowych Podmiot Przetwarzający zobowiązany jest do ich usunięcia w terminie wskazanym przez Administratora w wezwaniu do usunięcia stwierdzonych uchybień.
§ 6
Korzystanie z usług innego podmiotu przetwarzającego
1. Podmiot Przetwarzający może powierzyć dane osobowe do dalszego przetwarzania podwykonawcom jedynie w celu i zakresie niezbędnym do wykonania Umowy Głównej i po uzyskaniu uprzedniej pisemnej zgody Administratora.
2. Administrator udziela odpowiedzi na wniosek o wyrażenie zgody na powierzenie danych osobowych do przetwarzania innemu podmiotowi w terminie 14 dni od odebrania wniosku. Termin ten może być zawieszony do momentu, gdy Administrator otrzyma wszystkie dodatkowe informacje, niezbędne dla wykazania spełniania przez ten inny podmiot wymogów spoczywających na podmiotach przetwarzających.
3. Przekazanie powierzonych danych osobowych do państwa trzeciego może nastąpić jedynie na podstawie uprzedniej zgody Administratora udzielonej w formie pisemnej pod rygorem nieważności chyba, że obowiązek taki nakładają na Podmiot Przetwarzający przepisy prawa. W takim przypadku przed rozpoczęciem przetwarzania Podmiot Przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
4. Dalsze powierzenie przetwarzania danych podwykonawcy wymaga zawarcia umowy w formie pisemnej przez Podmiot Przetwarzający z podwykonawcą. Zawarta umowa powinna precyzować: przedmiot, czas, charakter i cel przetwarzania danych oraz rodzaj danych i kategorie osób, których dane dotyczą, oraz zobowiązywać podwykonawcę, do spełniania tych samych obowiązków , jakie zostały nałożone na Podmiot Przetwarzający w art. 28 RODO oraz niniejszej Umowie Przetwarzania, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO.
5. Podmiot Przetwarzający ponosi wobec Administratora pełną odpowiedzialność w razie niewywiązywania się podwykonawcy ze spoczywających na nim obowiązków ochrony danych.
§ 7
Odpowiedzialność Podmiotu przetwarzającego
1. Podmiot Przetwarzający ponosi odpowiedzialność za szkody poniesione przez osobę, której dane dotyczą lub Administratora z tytułu działań niezgodnych z zapisami niniejszej Umowy Powierzenia, RODO oraz krajowymi przepisami o ochronie danych osobowych, a także innymi przepisami prawa powszechnie obowiązującego, chroniącymi prawa osób, których dane będą przetwarzane, w tym w szczególności za niezgodne z treścią Umowy Powierzenia udostępnienie lub wykorzystanie danych osobowych.
2. Podmiot Przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot Przetwarzający danych osobowych określonych w Umowie Powierzenia, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu Przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie Przetwarzającym tych danych osobowych.
§8
Usunięcie danych
Podmiot Przetwarzający po zakończeniu realizacji przedmiotu niniejszej Umowy Powierzenia, jest zobowiązany, w zależności od pisemnej decyzji Administratora, do usunięcia lub zwrócenia Administratorowi wszelkich powierzonych danych osobowych oraz usunięcia wszelkich ich istniejących kopii, chyba że obowiązujące przepisy prawa zobowiązują Podmiot Przetwarzający do przechowywania danych osobowych.
§9
Charakter przetwarzania
1. Podmiot przetwarzający będzie przetwarzać powierzone dane osobowe w sposób regularny w ramach wykonywania czynności przetwarzania wynikających z Umowy Głównej, tj. udzielania świadczeń zdrowotnych na rzecz pacjentów Administratora, w tym prowadzenia dokumentacji medycznej.
2. Powierzone do przetwarzania dane mogą być przetwarzane w postaci tradycyjnej (papierowej) oraz z wykorzystaniem systemów informatycznych Administratora
3. Powierzone do przetwarzania dane osobowe mogą podlegać następującym operacjom lub zestawom operacji przetwarzania: zbieranie, utrwalanie, przechowywanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, udostępnianie, usuwanie danych - w celu i zakresie adekwatnych dla prawidłowej realizacji Umowy Głównej.
§10
Kategorie osób, których dane dotyczą
Osoby, których dotyczą powierzone do przetwarzania dane osobowe, należą do następujących kategorii:
a. Pacjenci – osoby zwracające się o udzielenie świadczeń zdrowotnych lub korzystające ze świadczeń zdrowotnych udzielanych przez Administratora;
b. Osoby upoważnione przez pacjenta do uzyskiwania informacji o jego stanie zdrowia i udzielonych świadczeniach zdrowotnych lub do uzyskiwania jego dokumentacji medycznej, przedstawiciele ustawowi oraz opiekunowie faktyczni pacjenta.
c. Personel medyczny Administratora – osoby wykonujące zawód medyczny, które udzielają świadczeń opieki zdrowotnej lub świadczą usługi farmaceutyczne w ramach stosunku pracy lub umowy cywilnoprawnej z Administratorem.
d. Personel medyczny zewnętrzny – osoby wykonujące zawód medyczny, które udzielają świadczeń opieki zdrowotnej lub świadczą usługi farmaceutyczne w ramach stosunku pracy lub umowy cywilnoprawnej z innym podmiotem leczniczym lub w formie praktyk zawodowych poza Szpitalem.
§11
Rodzaj danych osobowych
Powierzone do przetwarzania dane osobowe obejmują dane zawarte w dokumentacji medycznej udzielonych, udzielanych i planowanych świadczeń opieki zdrowotnej zgodnie z postanowieniami Umowy Głównej i należą do następujących kategorii danych:
a. dane osobowe pacjentów:
− dane zwykłe: oznaczenie pacjenta pozwalające na ustalenie jego tożsamości: nazwisko i imię (imiona), data urodzenia, oznaczenie płci, adres miejsca zamieszkania, numer PESEL, jeżeli został nadany, w przypadku noworodka - numer PESEL matki, a w przypadku osób, które nie mają nadanego numeru PESEL - rodzaj i numer dokumentu potwierdzającego tożsamość, oraz inne dane osobowe, zgodnie z art. 25 ust. 1 UPP,
− szczególne kategorie danych: dane dotyczące zdrowia, tj. opis stanu zdrowia pacjenta lub udzielonych mu świadczeń zdrowotnych, zgodnie z art. 25 ust. 1 pkt 3 UPP oraz § 10 ust. 1 pkt. 5 rozporządzenia Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania,
b. dane zwykłe osób upoważnionych przez pacjenta: dane identyfikujące, dane kontaktowe.
c. dane zwykłe personelu medycznego Administratora i personelu medycznego zewnętrznego, tj.:
− oznaczenie osoby udzielającej świadczeń zdrowotnych oraz osoby kierującej na badanie diagnostyczne, konsultacje lub leczenie, nazwisko i imię, tytuł zawodowy, uzyskane specjalizacje, numer prawa wykonywania zawodu oraz inne dane osobowe, zgodnie z § 10 ust. 1 pkt. 3 rozporządzenia Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów
dokumentacji medycznej oraz sposobu jej przetwarzania.
− oznaczenie podmiotu udzielającego świadczeń zdrowotnych (w przypadku zewnętrznej praktyki zawodowej): nazwa podmiotu, kod resortowy, adres miejsca udzielania świadczeń zdrowotnych.
§ 12
Obowiązywanie Umowy Powierzenia
1. Niniejsza Umowa Powierzenia obowiązuje od dnia ……………. i zostaje zawarta na czas obowiązywania Umowy Głównej.
2. Administrator jest uprawniony do rozwiązania niniejszej Umowy Powierzenia w trybie natychmiastowym, w przypadku niespełniania przez Podmiot Przetwarzający wymagań wynikających z art. 28 RODO lub rażącego naruszenia postanowień niniejszej Umowy Powierzenia, w szczególności, gdy Podmiot Przetwarzający:
a) nie usunął uchybień pokontrolnych w terminie, o którym mowa w § 5 ust. 3;
b) wykorzystał powierzone dane osobowe w sposób niezgodny z niniejszą Umową Powierzenia;
c) powierzył przetwarzanie przekazanych danych osobowych innemu podmiotowi bez uzyskania zgody Administratora;
d) uchybi obowiązkowi wskazanemu w § 4 ust. 5 niniejszej Umowy Powierzenia w szczególności, gdy uchybienie takie będzie rodziło negatywne konsekwencje po stronie Administratora.
§ 13
Wynagrodzenie
Niniejsza umowa zostanie zrealizowana przez Podmiot Przetwarzający w ramach wynagrodzenia przysługującego z tytułu wykonania Umowy Głównej.
§ 14
Postanowienia końcowe
1. Wszelkie zmiany niniejszej Umowy Powierzenia powinny być dokonane w formie pisemnej pod rygorem nieważności.
2. W zakresie nieuregulowanym niniejszą Umową Powierzenia zastosowanie mają właściwe przepisy prawa, w szczególności przepisy Kodeksu cywilnego oraz RODO.
3. Niniejszą Umowę powierzenia sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
4. Strony zobowiązują się do polubownego i w dobrej wierze rozwiązywania wszelkich sporów mogących powstać na tle realizacji niniejszej umowy.
5. W przypadku braku porozumienia wszelkie spory wynikające w związku z realizacją niniejszej umowy rozstrzygać będzie sąd powszechny właściwy miejscowo dla Administratora.
6. Żadna ze Stron nie może przenieść praw lub obowiązków wynikających z niniejszej Umowy na osoby trzecie bez pisemnej zgody drugiej Strony.