UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
załącznik nr 6 do szczegółowych warunków konkursu
„świadczenie usług zdrowotnych z zakresu teleradiologii polegających na sporządzeniu zdalnych opisów badań radiologicznych (RTG i TK) dla Wojewódzkiego Szpitala Zespolonego im. xx. Xxxxxx Xxxxxxxxxxxx w Koninie
- Projekt -
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w dniu ....................... w pomiędzy:
Wojewódzkim Szpitalem Zespolonym im. xx. Xxxxxx Xxxxxxxxxxxx w Koninie, xx. Xxxxxxxxx 00, 00-000 Xxxxx, wpisanym do Rejestru stowarzyszeń, innych organizacji społecznych i zawodowych, fundacji oraz samodzielnych publicznych zakładów opieki zdrowotnej Krajowego Rejestru Sądowego, zarejestrowanym w Sądzie Rejonowym Poznań - Nowe Miasto i Wilda w Poznaniu, IX Wydział Gospodarczy Krajowego Rejestru Sądowego,
NIP 000-000 00-00 REGON 000311591, KRS 000030801
Reprezentowanym przez:
Zwaną/ym dalej „Administratorem”, a
…………………………, z siedzibą w ………………. przy ul. ……………………….., NIP , reprezentowanym
przez
……………………………………………………………. zwaną/ym dalej „Przetwarzającym”.
§ 1
Definicje
Administrator i Przetwarzający ustalają następujące znaczenie użytych w niniejszej umowie pojęć:
1. Umowa powierzenia – niniejsza umowa;
2. Umowa główna – [oznaczenie umowy głównej/ zlecenia] ;
3. RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016
r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE L 119/1 z 4 maja 2016 r.);
4. Przetwarzanie danych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie, lub niszczenie;
§ 2
Powierzenie przetwarzania danych osobowych
1. W związku z realizacją Umowy głównej Administrator, w trybie art. 28 ust. 3 RODO, powierza Przetwarzającemu przetwarzanie danych osobowych w zakresie i celu określonych w Umowie powierzenia.
2. Administrator oświadcza, że jest administratorem danych osobowych w rozumieniu art. 4 p. 7 RODO.
3. Przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą Umową, krajowymi przepisami dotyczącymi ochrony danych osobowych, RODO oraz innymi przepisami prawa powszechnie obowiązującego chroniącymi prawa osób, których dane dotyczą.
4. Przetwarzający oświadcza, że stosuje środki techniczne i organizacyjne, o których mowa w art. 32 RODO.
§ 3
Zakres i cel przetwarzania powierzonych danych osobowych
1. Przetwarzający w związku z realizacją Umowy głównej będzie przetwarzał następujące dane osobowe z zakresu teleradiologii polegających na sporządzeniu zdalnych opisów badań radiologicznych (RTG i TK):
a) dane pracowników Przetwarzającego: imię i nazwisko, stanowisko, numer telefonu, numer prawa wykonywania zawodu, e-mail,
b) personelu Administratora: imię i nazwisko, stanowisko, numer telefonu, numer prawa wykonywania zawodu, e-mail,
c) dane pacjentów: imię nazwisko, XXXXX, data urodzenia, wynik badania obrazowego, dane o skierowaniu, krótki opis przypadku medycznego ze skierowania, wcześniejsze dane obrazowe pacjenta.
2. Powierzone przez Administratora dane osobowe będą przetwarzane przez Przetwarzającego w formie papierowej i elektronicznej. Przetwarzanie danych będzie obejmowało w szczególności operacje takie jak ich: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie, lub niszczenie.
3. Dane osobowe określone w ust. 1 przetwarzane będą wyłącznie w celu realizacji Umowy głównej.
§ 4
Sposób wykonania Umowy
1. Przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych
2. Przetwarzający zobowiązuje się do zabezpieczenia danych osobowych, o których mowa w §3 ust
1. Umowy powierzenia, poprzez stosowanie odpowiednich środków, o których mowa w art. 32 RODO, w tym w szczególności :
a) uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, zobowiązany jest zastosować środki
techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Przetwarzający powinien odpowiednio udokumentować zastosowanie tych środków, a także uaktualniać te środki w porozumieniu z Administratorem;
b) zobowiązany jest zapewnić by każda osoba fizyczna działająca z upoważnienia Przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie Administratora w celach i zakresie przewidzianym w Umowie powierzenia;
c) zobowiązany jest prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora, o którym mowa w art. 30 ust. 2 RODO, chyba ze Przetwarzający jest zwolniony z tego obowiązku na podstawie art. 30 ust. 5 RODO.
§ 5
Obowiązki Przetwarzającego
1. Przetwarzający zobowiązuje się do ograniczania dostępu do powierzonych danych osobowych wyłącznie do pracowników i osób z nim współpracujących na podstawie umów cywilnoprawnych, którym udzielił upoważnień do przetwarzania danych osobowych.
2. Przetwarzający oświadcza, że zgodnie z art. 28 ust. 3 p. b) RODO zobowiązał osoby upoważnione przez niego do przetwarzania danych osobowych do zachowania w tajemnicy danych osobowych, do których mają lub będą miały dostęp, zarówno w trakcie zatrudniania ich, jak i po jego ustaniu.
3. Przetwarzający, w przypadku wygaśnięcia Umowy głównej oraz rozwiązania Umowy powierzenia, niezwłocznie, ale nie później niż w terminie 7 dni kalendarzowych, według wskazania Administratora zwraca lub usuwa wszelkie dane osobowe, których przetwarzanie zostało mu powierzone oraz usuwa wszelkie ich istniejące kopie, chyba ze prawo Unii Europejskiej lub prawo państwa członkowskiego nakazuje przechowywanie danych osobowych.
4. Mając na uwadze charakter przetwarzania Przetwarzający, w miarę możliwości pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w art. 15-22 RODO.
5. Mając na uwadze charakter przetwarzania oraz dostępne Przetwarzającemu informacje, będzie on pomagał Administratorowi w wywiązaniu się z obowiązków określonych w art. 32-36 RODO.
6. W razie wątpliwości przyjmuje się, że każdorazowe przekazanie Przetwarzającemu danych osobowych w celu wykonania Umowy głównej, stanowi polecenie Administratora do przetwarzania danych zgodnie z Umową powierzenia.
7. W przypadku stwierdzenia naruszenia ochrony danych osobowych, Przetwarzający zobowiązuje się do:
a) przekazania Administratorowi, w formie pisemnej lub elektronicznej, informacji dotyczących stwierdzonego naruszenia, w tym w szczególności informacji, o których mowa w art. 33 ust 3 RODO, w ciągu 24 godzin od stwierdzenia naruszenia;
b) przekazania na żądanie Administratora wszelkich informacji niezbędnych do zawiadomienia osoby, której dane dotyczą, zgodnie z art. 34 ust. 2 RODO, w ciągu 36 godzin od stwierdzenia naruszenia.
8. Przetwarzający zobowiązuje się stosować się do wskazówek lub zaleceń wydawanych przez organ nadzoru lub unijny organ doradczy zajmujący się ochroną danych osobowych, w szczególności w zakresie stosowania RODO.
9. Przetwarzający niezwłocznie poinformuje Administratora o:
a) wszelkich postępowaniach prowadzonych wobec niego przez organ nadzorczy bądź inny uprawniony organ państwowy, obejmujących dane powierzone przez Administratora;
b) wszelkich kontrolach lub inspekcjach dotyczących przetwarzania powierzonych danych osobowych, w szczególności prowadzonych przez organ nadzorczy;
§ 6
Podpowierzenie
1. Przetwarzający może powierzyć dalszym podmiotom przetwarzanie powierzonych danych wyłącznie w celu wykonania Umowy głównej.
2. O zamiarze podpowierzenia danych osobowych Przetwarzający informuje Administratora wskazując tożsamość (nazwę) podmiotu, któremu ma zamiar podpowierzyć dane oraz zakres danych, charakter, cel i czas trwania podpowierzenia. Jeżeli Administrator w terminie 7 dni od daty zawiadomienia nie wyrazi sprzeciwu, Przetwarzający może podpowierzyć dane.
3. Przetwarzający może podpowierzyć przetwarzanie danych na podstawie pisemnej umowy zawartej z podmiotem mającym przetwarzać podpowierzone dane. Umowa ta powinna określać przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych i kategorie osób, których dane dotyczą, oraz obowiązki i prawa Administratora.
4. Przetwarzający zobowiąże podmiot mający przetwarzać podpowierzone dane do przestrzegania przepisów prawa dotyczących ochrony danych osobowych w takim samym zakresie jak stanowi Umowa powierzenia.
5. Brak sprzeciwu wobec powierzenia przetwarzania danych przez Przetwarzającego nie oznacza zgody na jeszcze dalsze powierzenie przetwarzania tych danych.
6. Administrator może w każdej chwili sprzeciwić się dalszemu podpowierzaniu w stosunku do jakiegokolwiek podmiotu.
7. Przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się z obowiązków ochrony danych przez podprzetwarzającego.
8. Przekazanie powierzonych danych do państwa trzeciego może nastąpić wyłącznie na pisemne polecenie Administratora, chyba że Przetwarzający jest zobowiązany do takiego przekazania na mocy prawa Unii Europejskiej lub państwa członkowskiego, któremu podlega Przetwarzający. W takim wypadku przed rozpoczęciem przetwarzania Przetwarzający informuje Administratora o istnieniu tego obowiązku prawnego, o ile prawo nie zabrania udzielenia takiej informacji ze względu na ważny interes publiczny.
9. Przekazanie danych osobowych do podmiotów znajdujących się w państwach spoza Europejskiego Obszaru Gospodarczego może się odbywać wyłącznie na warunkach określonych w art. 44-50 RODO.
§ 7
Prawo kontroli
1. Administrator, zgodnie z art. 28 ust. 3 p. h) RODO, jest uprawniony do kontroli przetwarzania powierzonych danych w miejscu prowadzenia działalności i w godzinach pracy Przetwarzającego.
2. Administrator poinformuje Przetwarzającego o planowanej kontroli drogą elektroniczną lub faksem, z przynajmniej 7-dniowym wyprzedzeniem.
3. Przetwarzający zobowiązuje się do usunięcia stwierdzonych w drodze kontroli uchybień w terminie 14 dni od ich przedstawienia Przetwarzającemu przez Administratora.
4. Przetwarzający zobowiązuje się do udostępnienia Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków, o których mowa w art. 28 RODO oraz w Umowie powierzenia oraz umożliwia Administratorowi przeprowadzenie audytów, w tym inspekcji.
§ 8
Odpowiedzialność Przetwarzającego
1. Przetwarzający ponosi odpowiedzialność w zakresie przewidzianym w obowiązujących przepisach o ochronie danych osobowych, w szczególności RODO. Przetwarzający jest odpowiedzialny za ewentualne udostępnienie lub wykorzystanie danych osobowych niezgodnie z Umową powierzenia, RODO lub przepisami krajowymi, a w szczególności za udostępnienie ich osobom nieupoważnionym.
2. W przypadku naruszenia obowiązujących przepisów prawa, w szczególności RODO lub niniejszej Umowy z przyczyn leżących po stronie Przetwarzającego, w następstwie czego Administrator, jako administrator danych osobowych, zostanie zobowiązany do wypłaty odszkodowania lub zostanie ukarany karą grzywny, Przetwarzający zobowiązuje się pokryć poniesione przez Administratora z tego tytułu straty.
§ 9
Czas obowiązywania Umowy
1. Niniejsza Umowa powierzenia zostaje zawarta na czas obowiązywania Umowy głównej.
2. Powierzenie przetwarzania danych osobowych obowiązuje przez cały czas trwania Umowy powierzenia, a także po ustaniu jej obowiązywania – przez okres wymagany przepisami prawa, jeżeli obowiązujące przepisy nakładają taki obowiązek na Przetwarzającego.
§ 10
Warunki wypowiedzenia i rozwiązania Umowy
1. Administrator ma prawo wypowiedzieć niniejszą Umowę ze skutkiem natychmiastowym w przypadku gdy Przetwarzający:
a) wykorzystał dane osobowe w sposób niezgodny z niniejszą Umową,
b) powierzył przetwarzanie danych osobowych nieupoważnionym podmiotom pomimo sprzeciwu Administratora,
c) nie zaprzestał niewłaściwego przetwarzania danych osobowych w terminie wyznaczonym przez Administratora,
d) w rażący sposób nie wywiązuje się z obowiązków wynikających z niniejszej Umowy.
§ 11
Postanowienia końcowe
1. Wszelkie zmiany i uzupełnienia niniejszej Umowy wymagają formy pisemnej pod rygorem nieważności.
2. W przypadku, gdy którekolwiek z postanowień niniejszej Umowy, kilka jej postanowień lub część tych postanowień są lub okażą się bezskuteczne lub nieważne, pozostałe postanowienia niniejszej umowy zachowują swoją pełną moc.
3. Spory wynikłe z tytułu niniejszej Umowy będzie rozstrzygał Sąd właściwy dla miejsca siedziby Administratora.
4. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.
....................................................... ....................................................