UMOWA powierzenia przetwarzania danych osobowych
Załącznik nr 3
UMOWA
powierzenia przetwarzania danych osobowych
- WZÓR -
zawarta w Białymstoku w dniu ………………….. pomiędzy:
Białostockim Centrum Onkologii im. Xxxxx Xxxxxxxxxxxx – Xxxxx w Białymstoku,
xx. Xxxxxxxx 00.00-000 Xxxxxxxxx, NIP: 000-00-00-000, REGON: 050657379, Nr KRS: 0000002253, reprezentowanym przez:
Dyrektora – Xxxxxxxxx Xxxxxx Xxxxxxxxx,
Zwanym w dalszej części umowy Administratorem,
a
………………………………………………………………………………………………………………………………………………………………………………., zwanym w dalszej części umowy Procesorem.
Łącznie w dalszej części umowy zwanymi Stronami.
§ 1
Przedmiot Umowy, cel, charakter i zakres
Na mocy niniejszej Umowy powierzenia przetwarzania danych osobowych [dalej Umowa] Administrator powierza Procesorowi przetwarzanie powierzonych mu danych osobowych w celu świadczenia przez Procesora na rzecz Administratora usług szkoleniowych, zgodnie z łączącą strony umową o współpracy nr …………………………….. [dalej Współpraca], która stanowi integralny załącznik do niniejszej Umowy.
Przetwarzaniem danych są jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,
Przetwarzanie danych osobowych będzie odbywać się w formie papierowej.
Procesor oświadcza i gwarantuje Administratorowi, że zapewnia przez cały okres trwania Umowy, odpowiednie środki techniczne i organizacyjne, by przetwarzanie przez niego danych osobowych powierzonych mu przez Administratora spełniało wymogi Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [dalej RODO] oraz zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą Umową, RODO oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
Celem powierzenia jest świadczenie usług szkoleniowych, zgodnie z Umową o współpracy i obejmuje zakres danych osobowych ujętych w Porozumieniu w sprawie przetwarzania danych osobowych zawarte pomiędzy Województwem Podlaskim, reprezentowanym przez Panią Xxxxxx Xxxxxxxxxx – Dyrektora Wojewódzkiego Urzędu Pracy w Białymstoku, a Szpitalem Powiatowym w Zambrowie, reprezentowanym przez Xxxxxxxxx Xxxxxxxxx – Prezesa Zarządu Szpitala Powiatowego w Zambrowie, działającym również w imieniu i na rzecz partnerów:
nazwisko i imię (xxxxxx),
numer PESEL,
oznaczenie płci,
wiek,
wykształcenie,
dane do kontaktu (adres, nr telefonu, adres email),
status na rynku pracy, wykonywany zawód (jeśli dotyczy) oraz miejsce zatrudnienia (jeśli dotyczy),
informacje dotyczące sytuacji społecznej oraz zdrowotnej.
§ 2
Czas trwania Umowy
Procesor uprawniony jest do przetwarzania powierzonych danych osobowych do dnia wygaśnięcia lub rozwiązania Współpracy.
Administrator może rozwiązać niniejszą umowę ze skutkiem natychmiastowym, gdy
Procesor :
pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli/audytu nie usunie ich w wyznaczonym terminie;
przetwarza dane osobowe w sposób niezgodny z Umową;
powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora.
W terminie 7 dni od ustania Współpracy, Procesor zobowiązany jest do usunięcia powierzonych danych, ze wszystkich nośników, programów i aplikacji w tym również kopii, chyba, że obowiązek ich dalszego przetwarzania wynika z odrębnych przepisów prawa.
Administrator może postanowić, że Procesor ma obowiązek zwrotu powierzonych mu danych na nośnikach papierowych lub elektronicznych w terminie 7 dni od dnia rozwiązania Współpracy, o czym poinformuje Procesora najpóźniej w dniu rozwiązania Współpracy.
§ 3
Obowiązki i prawa Procesora
Procesor zobowiązuje się współpracować z Administratorem w zakresie udzielania odpowiedzi na żądania osoby, której dane dotyczą, opisane w rozdziale III RODO (w szczególności w zakresie informowania i przejrzystej komunikacji, dostępu do danych, obowiązku informacyjnego, prawa dostępu, prawa do sprostowania danych, usunięcia danych, ograniczenia przetwarzania, przenoszenia danych, prawa sprzeciwu oraz informowania o zautomatyzowanym podejmowaniu decyzji).
Procesor zobowiązuje się do pomocy Administratorowi w wywiązaniu się z obowiązków określonych w art. 32-36 RODO (w szczególności dla bezpieczeństwa przetwarzania, zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu, zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, przeprowadzania oceny skutków dla ochrony danych osobowych, konsultacji z organem nadzorczym),
Procesor zobowiązuje się prowadzić w formie pisemnej (przez którą rozumie się także formę elektroniczną) rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora, w sposób zgodny z art. 30 ust. 2 RODO, tj. zawierając w nim informacje o:
nazwie lub imieniu i nazwisku oraz danych kontaktowych Procesora oraz Administratora, a także inspektora ochrony danych w rozumieniu RODO, gdy ma to zastosowanie;
kategoriach przetwarzań dokonywanych w imieniu Administratora;
gdy ma to zastosowanie (z zastrzeżeniem § 6 ust. 4 Umowy) - przekazywaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwie tego państwa trzeciego lub organizacji międzynarodowej;
ogólnym opisie technicznych i organizacyjnych środków bezpieczeństwa, o których mowa art. 32 ust. 1 RODO i w §4 Umowy.
Procesor zobowiązuje się do udostępnienia Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków spoczywających na Procesorze oraz umożliwi Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji, współpracując przy działaniach sprawdzających i naprawczych, z zastrzeżeniem § 5 Umowy.
Procesor zobowiązuje się udostępniać Administratorowi, na każde jego żądanie i we wskazanym przez niego terminie, wszelkie informacje i dokumenty niezbędne do wykazania spełnienia przez Administratora obowiązków wynikających z art. 28 RODO, w tym przekazywać informacje o stosowanych zabezpieczeniach, zidentyfikowanych zagrożeniach i incydentach w obszarze ochrony danych osobowych, etc. oraz udostępnić rejestr, o którym mowa w ust.3 powyżej (z zastrzeżeniem prawa do zanonimizowania zawartych w nim danych dotyczących współpracy wyłącznie z innymi klientami Procesora), aktualną listę osób upoważnionych i dokumenty ich zobowiązań poufności, jak również umożliwiać Administratorowi przeprowadzanie audytów.
Procesor zobowiązuje się przechowywać dane osobowe tylko tak długo, jak to określił Administrator, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie, usuwać lub zwracać wskazane dane osobowe zgodnie z poleceniami Administratora (przy czym jeśli takie działanie mogłoby powodować brak możliwości dalszego realizowania czynności przetwarzania, Procesor poinformuje Administratora przed jego podjęciem, a następnie - o ile Administrator nie poleci inaczej - zastosuje się do polecenia Administratora).
§ 4
Zgłaszanie incydentów
Procesor zobowiązuje się po stwierdzeniu naruszenia ochrony danych osobowych do zgłoszenia tego Administratorowi bez zbędnej zwłoki ( 12 godzin),
Informacja przekazana Administratorowi powinna zawierać co najmniej elementy wymienione w art.33 ust. 3 RODO, w tym :
opis charakteru naruszenia oraz - o ile to możliwe - wskazanie kategorii i przybliżonej liczby osób, których dane zostały/mogły zostać naruszone i ilości/rodzaju danych, których naruszenie dotyczy,
opis możliwych konsekwencji naruszenia,
opis zastosowanych lub proponowanych do zastosowania przez Procesora środków w celu zaradzenia naruszeniu, w tym minimalizacji jego negatywnych skutków.
§ 5
Prawo kontroli
Administrator zgodnie z art. 28 ust. 3 pkt h) RODO ma prawo kontroli, czy środki zastosowane przez Procesora przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia Umowy.
Administrator realizować będzie prawo kontroli w godzinach pracy Podmiotu przetwarzającego i z minimum 5-dniowym jego uprzedzeniem.
Procesor zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora danych nie dłuższym niż 7 dni.
Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.
§ 6
Podpowierzenie
Procesor w ramach realizacji Umowy może korzysta z usług innego podmiotu przetwarzającego
( dalej podprocesor ) tylko i wyłącznie za pisemną zgodą Administratora.Podprocesor, o którym mowa w ust. 1 powyżej, powinien spełniać te same gwarancje i obowiązki jakie zostały nałożone na Procesora w niniejszej Umowie.
Jeżeli podprocesor nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za niewypełnienie obowiązków wynikających z RODO spoczywa na Procesorze.
Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora chyba, że obowiązek taki nakłada na Procesora prawo Unii lub prawo państwa członkowskiego, któremu podlega Procesor. W takim przypadku przed rozpoczęciem przetwarzania Procesor informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
§ 7
Odpowiedzialność Podmiotu przetwarzającego
Procesor jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
Procesor zobowiązuje się informować (o ile nie doprowadzi to do naruszenia przepisów obowiązującego prawa) Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych osobowych przez Procesora (tj. poinformować o jego wszczęciu i systematycznie informować o jego toku), o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczących przetwarzania danych, skierowanych do Procesora, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Procesora, w szczególności prowadzonych przez organ nadzorczy, a także o wszelkich skargach osób, których dane dotyczą, związanych z przetwarzaniem ich danych osobowych - niezwłocznie, jednak nie później niż w ciągu 3 (trzech) dni roboczych od daty powzięcia przez Procesora wiedzy o takim zdarzeniu.
§
8
Deklarowane środki techniczne i organizacyjne
Procesor gwarantuje, że każda osoba realizująca Umowę zobowiązana jest do bezterminowego zapewnienia poufności danych osobowych przetwarzanych w związku z wykonywaniem Umowy, a w szczególności do tego, że nie będzie przekazywać, ujawniać i udostępniać tych danych osobom nieuprawnionym. Jednocześnie każda osoba realizująca Umowę zobowiązana jest do zachowania w tajemnicy sposobów zabezpieczenia danych osobowych.
Procesor oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie niniejszej Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub niniejszej Umowy.
Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
Procesor zobowiązuje się dopuszczać do przetwarzania danych osobowych osoby realizujące Umowę poinformowane i przeszkolone z zasad bezpieczeństwa pracy z danych osobowymi,
Każda osoba realizująca Umowę zobowiązana jest do przetwarzania danych osobowych do których uzyskała dostęp wyłącznie w zakresie i celu przewidzianym w Umowie.
Każda osoba realizująca Umowę zobowiązana jest do nie powodowania niezgodnych z Umową zmian danych lub utraty, uszkodzenia lub zniszczenia tych danych.
Każda osoba realizująca Umowę zobowiązuje się do niedokonywania jakiegokolwiek kopiowania i utrwalania danych osobowych poza systemami informatycznymi Administratora,
Procesor deklaruje stosowanie środków technicznych i organizacyjnych określonych w art. 32 RODO, jako adekwatnych do zidentyfikowanego ryzyka naruszenia praw lub wolności powierzonych danych osobowych a w szczególności:
pseudonimizację i szyfrowanie danych osobowych;
zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Procesor zobowiązuje się za pomocą odpowiednich środków technicznych lub organizacyjnych stosować ochronę powierzonych danych przed niedozwolonym lub niezgodnym z prawem przetwarzaniem (zniszczeniem, utraceniem, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych) oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.
§ 9
Postanowienia końcowe
Umowa zastępuje wszelkie inne ustalenia dokonane pomiędzy Procesorem a Administratorem dotyczące przetwarzania danych osobowych bez względu na to, czy zostały uregulowane umową czy innym instrumentem prawnym.
W zakresie nieuregulowanym Umową mają zastosowanie przepisy prawa obowiązującego na terenie Rzeczypospolitej Polskiej, w tym RODO.
Wszelkie zmiany Umowy wymagają formy pisemnej pod rygorem nieważności.
Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
Procesor |
Administrator |
|
…………………………………… …………………………………………