Umowa powierzenia przetwarzania danych osobowych
Załącznik nr 6 do umowy …………………
Umowa powierzenia przetwarzania danych osobowych
zawarta na podstawie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),
zawarta w dniu pomiędzy:
Centrum Zdrowia Dziecka i Rodziny im. Xxxx Xxxxx XX w Sosnowcu Sp. z o.o. z siedzibą w Sosnowcu przy ul. G. Xxxxxxxxxx 0, działającą na podstawie KRS pod numerem 0000532342, posiadającą numer NIP 000-00 00-000, numer REGON 276240724
zwanym dalej w treści umowy ADMINISTRATOREM, reprezentowanym przez: dr n. xxx. Xxxxxxx Xxxxxx – Prezes Zarządu
a
……………………………., działającym na podstawie wpisu do KRS nr ………, posiadającym numer NIP ……………….., numer REGON ……………………….
zwanym dalej PRZETWARZAJĄCYM, reprezentowanym przez:
………………….. - ……………………….
………………….. - ……………………….
o następującej treści:
§ 1
Definicje
1. Podmiot przetwarzający, Przetwarzający – podmiot, któremu powierzono przetwarzanie danych osobowych na mocy umowy powierzenia ze Zleceniodawcą /Administratorem.
2. Administrator - organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych
3. Zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
4. Przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,
5. Rozporządzenie - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),
6. Podwykonawca przetwarzający - podmiot, któremu Podmiot przetwarzający powierzył w całości lub częściowo przetwarzanie danych osobowych, jako konsekwencję realizowania swojej umowy powierzenia ze Zleceniodawcą.
7. Umowa – zgodne porozumienie dwóch lub więcej stron ustalające ich wzajemne prawa lub obowiązki.
8. Umowa Główna - umowa ze Zleceniobiorcą / Przetwarzającym o wykonanie zamówienia determinująca cel przetwarzania oraz czas trwania uprawnienia do przetwarzania danych.
§ 2
Przedmiot umowy
1. Przedmiotem umowy jest powierzenie przez ADMINISTRATORA PRZETWARZAJĄCEMU – przetwarzania danych osobowych wyłącznie w celu: realizacji Umowy Głównej CP/DI/ /2021/W z dnia 16.06.2021r.
2. Cel i zakres powierzenia przetwarzania danych osobowych wynika bezpośrednio i ogranicza się wyłącznie do zadań i czynności, wynikających z Umowy Głównej.
3. Podmiot przetwarzający uprawniony jest do przetwarzania powierzonych danych do dnia wygaśnięcia lub rozwiązania Umowy.
4. Wykonywanie przez Wykonawcę operacji przetwarzania danych w zakresie lub celu przekraczających zakres i cel opisane powyżej wymaga każdorazowej pisemnej zgody Zamawiającego.
5. W terminie 7 dni od ustania Umowy, Podmiot przetwarzający zobowiązany jest do usunięcia powierzonych danych, ze wszystkich nośników, programów i aplikacji w tym również kopii, chyba, że obowiązek ich dalszego przetwarzania wynika z odrębnych przepisów prawa.
§ 3
Rodzaj danych osobowych
1. ADMINISTRATOR oświadcza, iż przedmiotem niniejszej umowy są tzw. dane osobowe, w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, do przetwarzania których jest uprawniony na podstawie obowiązujących przepisów prawa.
2. Charakter przetwarzania danych dotyczy przetwarzania danych osobowych przy wykorzystaniu systemu informatycznego "INFOMEDICA”.
3. Rodzaj i kategorie powierzonych danych osobowych:
3.1. Dane osobowe zwykłe i szczególnej kategorii pracowników Zleceniodawcy: imiona, nazwiska, adresy, XXXXX, płeć, data urodzenia, dane o absencji, dane o wynagrodzeniu i zobowiązaniach, numer prawa wykonywania zawodu, tytuł naukowy.
3.2. Dane osobowe zwykłe i szczególnej kategorii Pacjentów Zleceniodawcy: imiona, nazwiska, adresy, XXXXX, imiona i nazwiska opiekunów prawnych/ rodziców, płeć, data urodzenia, adres, numer PESEL, dane dotyczące stanu zdrowia, dane dotyczące badań.
§ 4
Obowiązki PRZETWARZAJĄCEGO
1. PRZETWARZAJĄCY obowiązany jest przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, tj. w szczególności obowiązany jest do:
1.1. zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa oraz zmianą, utratą, uszkodzeniem lub zniszczeniem;
1.2. prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki, o których mowa w pkt 1.1.
1.3. wyznaczenia Inspektora Ochrony Danych, nadzorującego przestrzeganie zasad ochrony, o których mowa w pkt. 1.1.
1.4. dopuszczania do przetwarzania powierzonych danych wyłącznie osób posiadających upoważnienie do przetwarzania danych osobowych wydane przez PRZETWARZAJĄCEGO.
1.5. zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane;
1.6. prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych;
2. Przetwarzający zobowiązany jest do spełnienia warunków technicznych i organizacyjnych, którym odpowiadać powinny urządzenia i systemy informatyczne stosowane przez niego do przetwarzania danych osobowych.
3. Podmiot Przetwarzający zobowiązuje się, że w ramach realizacji niniejszej Umowy, będzie dopuszczał do przetwarzania powierzonych mu danych osobowych wyłącznie osoby, którym udzielił stosownego upoważnienia. Podmiot Przetwarzający zapewnia, że osoby upoważnione przez Podmiot Przetwarzający do przetwarzania danych osobowych:
3.1. zostały przeszkolone z zakresu ochrony danych osobowych i zobowiązane do zachowania tajemnicy przetwarzanych danych,
3.2. uzyskają dostęp do powierzonych do przetwarzania danych osobowych wyłącznie na uprzednie wyraźne polecenie Administratora z zastrzeżeniem, ust. 3 oraz ust. 5 niniejszego paragrafu.
4. Podmiot Przetwarzający ma obowiązek polecić przetwarzanie danych osobowych w imieniu Administratora upoważnionym przez siebie osobom, pod warunkiem, że w stosunku do tych osób spełniony został warunek określony w pkt. 3.1..
5. Wyznaczenia spośród swoich pracowników osoby pełniącej funkcję osoby nadzorującej dopełnienie obowiązków, wynikających z niniejszej umowy: …………………………………
……………………………………………………………………………………………..………… (imię i nazwisko, xxxxxxx, nr telefonu, adres e-mail).
6. Przetwarzający na żądanie Administratora okaże wdrożoną u siebie Politykę bezpieczeństwa danych osobowych lub inne wewnętrzne regulacje opisujące środki techniczne i organizacyjne przyjęte w celu ochrony danych osobowych.
7. Przetwarzający zobowiązuje się współpracować ze Zleceniodawcą w zakresie udzielania odpowiedzi na żądania osoby, której dane dotyczą, opisane w rozdziale III Rozporządzenia (w szczególności informowanie i przejrzysta komunikacja, dostęp do danych, obowiązek informacyjny, prawo dostępu, prawo do sprostowania danych, usunięcia danych, ograniczenia przetwarzania, przenoszenia danych, prawo sprzeciwu, zautomatyzowane podejmowanie decyzji).
8. Zleceniobiorca zobowiązuje się do pomocy Zleceniodawcy w wywiązaniu się z obowiązków określonych w art. 32-36 Rozporządzenia (w szczególności dla bezpieczeństwa przetwarzania, zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu, zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, przeprowadzania oceny skutków dla ochrony danych osobowych, konsultacji z organem nadzorczym).
9. Przetwarzający zobowiązuje się do informowania Administratora o każdym incydencie mogącym stanowić naruszenie ochrony danych osobowych bezzwłocznie nie później niż 12 godzin po stwierdzeniu takiego incydentu.
10. Zleceniobiorca zobowiązuje się do udostępnienia Zleceniodawcy wszelkich informacji niezbędnych do wykazania spełnienia obowiązków spoczywających na Zleceniobiorcy oraz umożliwi Zleceniodawcy lub audytorowi upoważnionemu przez Zleceniodawcę przeprowadzanie audytów, w tym inspekcji, współpracując przy działaniach sprawdzających i naprawczych
11. Przetwarzający zwróci Administratorowi w całości poniesione przez Administratora wydatki z tytułu nałożonych kar pieniężnych przez UODO oraz pokryje szkody z tytułu innych roszczeń wynikających z niniejszej umowy w przypadku wykazania, że nastąpiło to z przyczyn za które Przetwarzający ponosi odpowiedzialność.
§ 5
Obowiązki ADMINISTRATORA
1. ADMINISTRATOR zobowiązany jest do umożliwienia PRZETWARZAJĄCEMU dostępu do powierzonych danych osobowych w formie umożliwiającej ich przetwarzanie. ADMINISTRATOR zobowiązany jest do udzielania PRZETWARZAJĄCEMU wszelkich informacji niezbędnych do wykonywania niniejszej umowy zgodnie z obowiązującym prawem. ADMINISTRATOR dla realizacji celów przetwarzania lokalnego – niezależnie od PRZETWARZAJĄCEGO zapewni środki techniczne i organizacyjne zapewniające bezpieczeństwo danych.
2. ADMINISTRATOR jest zobowiązany do Wyznaczenia spośród swoich pracowników osoby pełniącej funkcję osoby nadzorującej dopełnienie obowiązków, wynikających z niniejszej
umowy: Xxxxx Xxxxxxxxxxx, ASI w Dziale Informatyki, tel. 00-000-00-00, xxxxxxxxxxx@xxxxx.xx (imię i nazwisko, funkcja, nr telefonu, adres e-mail).
§6
Kontrola wykonywania umowy
1. Administrator ma prawo do kontroli sposobu wykonywania niniejszej Umowy poprzez przeprowadzenie zapowiedzianych na 7 dni wcześniej doraźnych kontroli dotyczących przetwarzania danych osobowych przez Wykonawcę oraz żądania składania przez niego pisemnych wyjaśnień.
2. Po zakończeniu kontroli, o których mowa w ust. 1, Administrator przekazuje wyniki kontroli Przetwarzającemu, który może wnieść zastrzeżenia do protokołu w ciągu 7 dni od daty jego podpisania przez strony.
3. Przetwarzający zobowiązuje się dostosować do zaleceń pokontrolnych mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych.
4. Zalecenie pokontrolne, co do których Przetwarzający nie wnosi sprzeciwu w terminie 7 dni od ich otrzymania, stają się częścią niniejszej Umowy.
5. Przetwarzający zobowiązuje się odpowiedzieć niezwłocznie i właściwie na każde pytanie Administratora dotyczące przetwarzania powierzonych na podstawie Umowy danych osobowych w terminie 7 dni.
§7
Dalsze powierzenie przetwarzania danych osobowych
1. Przetwarzający może dokonać dalszego powierzenia przetwarzania danych osobowych do Podwykonawcy przetwarzającego jedynie za zgodą Administratora.
2. Jeżeli Wykonawca ma zamiar dokonać dalszego powierzenia przetwarzania danych osobowych zwraca się do Administratora z pisemnym wnioskiem o udzielenie zgody, w którym wskazuje dalszy podmiot przetwarzający, przedmiot, czas trwania oraz projekt umowy z dalszym podmiotem przetwarzającym.
3. W przypadku dalszego powierzenia, Przetwarzający zobowiązuje się do takiego uregulowania stosunku łączącego go z dalszym podmiotem przetwarzającym, aby umożliwić Administratorowi wykonywanie swoich uprawnień
4. Przetwarzający zobowiązuje się do zapewnienia w umowie dalszego powierzania danych osobowych do zapewnienia takich samych zabezpieczeń danych osobowych jaki wyznacza Umowa.
5. Jeżeli w wyniku dalszego powierzenia dane osobowe mogą zostać przesłane do państwa trzeciego Przetwarzający zobowiązany jest zapewnić bezpieczeństwo przekazanych danych zgodnie z art. 46 Rozporządzenia.
§8
Postanowienia końcowe
6. Przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora. Strony postanawiają, że zawarcie niniejszej Umowy stanowi udokumentowane polecenie Administratora, o którym mowa w Rozporządzeniu.
7. W sprawach nieuregulowanych w niniejszej umowie stosuje się przepisy powszechnie obowiązującego prawa, w szczególności Rozporządzenia.
8. Każda zmiana niniejszej umowy wymaga formy pisemnej pod rygorem nieważności.
9. Wszelkie spory wynikające z niniejszej umowy będą rozpatrywane przez Sąd właściwy dla siedziby Administratora.
10. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
WYKONAWCA | ZAMAWIAJĄCY |
……………………………………… | ……………………………………… |