UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Załącznik nr 5 do Umowy nr CSIOZ/…/2020
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta pomiędzy:
Skarbem Państwa - Centrum Systemów Informacyjnych Ochrony Zdrowia, z siedzibą w Warszawie, xx. Xxxxxxxxxx Xxxxxx 0 X, 00-000 Xxxxxxxx, posiadającym REGON 001377706, NIP: 5251575309, zwanym dalej „Zamawiającym” reprezentowanym przez:
….
a
…………………………….,
zwaną dalej „Wykonawcą”, reprezentowaną przez:
Zamawiający i Wykonawca są zwani dalej łącznie „Stronami”.
1. PRZEDMIOT UMOWY
1.1. Zamawiający i Wykonawca zawierają umowę powierzenia przetwarzania danych osobowych, zwaną dalej “Umową”, na mocy której Zamawiający powierza Wykonawcy przetwarzanie danych osobowych, rozumianych jako informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”), w zakresie wskazanym w Załączniku A („Dane osobowe”).
1.2. Powierzenie Danych osobowych Wykonawcy następuje w celu wykonania zawartej pomiędzy Stronami umów (dalej określanej jako „Umowa główna”) wskazanych w Załączniku nr C do Umowy – Wykaz Umów Głównych.
1.3. Dane osobowe będą przetwarzane przez Wykonawcę na terenie wskazanym w Załączniku
A.
1.4. Zakres powierzenia, wskazany w Załączniku A, może zostać w każdym momencie rozszerzony lub ograniczony przez Zamawiającego. Ograniczenie lub rozszerzenie może być dokonane poprzez przesłanie przez Zamawiającego do Wykonawcy nowej wersji Załącznika A, za pośrednictwem poczty elektronicznej na adres email wskazany w rozdziale 10 Umowy. W przypadku braku reakcji Wykonawcy w ciągu 3 Dni Roboczych (na potrzeby Umowy „Dni Robocze” należy rozumieć dni od poniedziałku do piątku, poza dniami ustawowo wolnymi od pracy w Polsce) od daty wysłania wiadomości przez Zamawiającego przyjmuje się, że Wykonawca zaakceptował zmianę zakresu powierzenia.
1.5. Wykonawca może przetwarzać Dane osobowe wyłącznie w zakresie i celu określonym w Umowie oraz w celu i zakresie niezbędnym do wykonania Umowy głównej. Przetwarzanie Danych osobowych przez Wykonawca odbywa się wyłącznie w czasie obowiązywania Umowy.
2. OŚWIADCZENIA I OBOWIĄZKI PROCESORA
2.1. Wykonawca niniejszym oświadcza, że posiada zasoby infrastrukturalne, doświadczenie, wiedzę oraz wykwalifikowany personel, w zakresie umożliwiającym należyte wykonanie Umowy, w zgodzie z obowiązującymi przepisami prawa. W szczególności Wykonawca oświadcza, że znane mu są zasady przetwarzania i zabezpieczenia Danych osobowych wynikające z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej jako: „RODO”) a także ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000).
2.2. Wykonawca jest zobowiązany:
2.2.1. przetwarzać Dane osobowe zgodnie z RODO, polskimi przepisami przyjętymi
w celu umożliwienia stosowania RODO, innymi obowiązującymi przepisami
prawa, Umową oraz instrukcjami Zamawiającego. Instrukcje (polecenia) są przekazywane przez Zamawiającego drogą elektroniczną (przesyłane na adres email Wykonawcy wskazany w Załączniku A, z zastrzeżeniem postanowień rozdziału 3, Wykonawca powinien wdrożyć instrukcje niezwłocznie, jednak nie później niż w terminie 7 Dni Roboczych od ich otrzymania; jeżeli w ocenie Wykonawcy termin 7-dniowy jest zbyt krótki na realizację instrukcji, powinien poinformować o tym fakcie Zamawiającego drogą elektroniczną (przesyłając informację na adres email Wykonawcy wskazany w Załączniku A) wskazując uzasadnienie dla takiej oceny; w takim przypadku Strony wspólnie ustalą późniejszy termin wdrożenia instrukcji Zamawiającego. Instrukcje nie będą rozszerzać zakresu obowiązków Wykonawcy wynikających z Umowy powierzenia oraz Umowy głównej;
2.2.2. przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie Zamawiającego, chyba że obowiązek taki nakłada na niego obowiązujące prawo krajowe lub unijne. W sytuacji, gdy obowiązek przetwarzania danych osobowych przez Wykonawcę wynika z przepisów prawa, informuje on Zamawiającego drogą elektroniczną – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile prawo nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
2.2.3. przetwarzać Dane osobowe wyłączenie w miejscu ustalonym w Umowie głównej oraz na urządzeniach zarządzanych przez Wykonawcę i jego personel lub Zamawiającego, z zachowaniem najwyższych zasad bezpieczeństwa i ochrony danych osobowych wymaganych przez obowiązujące przepisy prawa;
2.2.4. udzielać dostępu do Danych osobowych wyłącznie osobom, które ze względu na zakres wykonywanych zadań otrzymały od Wykonawcy upoważnienie do ich przetwarzania oraz wyłącznie w celu wykonywania obowiązków wynikających z Umowy oraz podjąć działania mające na celu zapewnienie, by każda osoba fizyczna działająca z upoważnienia Wykonawcy, która ma dostęp do Danych osobowych, przetwarzała je wyłącznie na polecenie Zamawiającego, chyba że przetwarzanie jest wymagane przez właściwe przepisy krajowe lub unijne;
2.2.5. zapewnić, aby osoby upoważnione do przetwarzania Danych osobowych zobowiązały się do zachowania tajemnicy, chyba że są to osoby podlegające odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy. Na każde żądanie Zamawiającego, nie później niż w terminie 3 Dni Roboczych, Wykonawca zobowiązany jest do przekazania kopii upoważnień do przetwarzania Danych osobowych oraz oświadczeń o zobowiązaniu do zachowania tajemnicy, osób przez niego upoważnionych i realizujących Umowę główną.
2.2.6. wdrożyć, zgodnie z wytycznymi wskazanymi w rozdziale 3 Umowy, odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których
Dane osobowe będą przetwarzane na podstawie Umowy oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych (określonych w art. 25 RODO);
2.2.7. wspierać Zamawiającego (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. Współpraca Wykonawcy z Zamawiającym, w zakresie wskazanym w zdaniu poprzedzającym, powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków Zamawiającego; w związku z realizacją tego obowiązku Wykonawca jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych danych osobowych (lub ich kopii) na żądanie Zamawiającego w terminie 5 Dni Roboczych w formie określonej przez Zamawiającego; Wykonawca powinien również niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, poinformować Zamawiającego o wniosku dotyczącym realizacji praw osoby, której dane dotyczą, złożonym u Wykonawcy; Wykonawca nie będzie jednak odpowiadał na taki wniosek bez uprzedniej zgody lub wyraźnego polecenia Zamawiającego;
2.2.8. pomagać Zamawiającemu wywiązać się z obowiązków określonych w RODO
(w tym w szczególności w art. 32–36 RODO), tj. w szczególności w zakresie:
- zapewnienia bezpieczeństwa przetwarzania Danych osobowych poprzez wdrożenie stosownych środków technicznych oraz organizacyjnych;
- dokonywania zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu oraz zawiadamiania osób, których dane dotyczą o takim naruszeniu (obowiązki Wykonawcy w odniesieniu do zgłaszania naruszeń zostały określone w rozdziale 8 Umowy);
- dokonywania przez Zamawiającego oceny skutków dla ochrony danych oraz przeprowadzania konsultacji Zamawiającego z organem nadzorczym;
2.2.9. xxxxxxxxx, w formie pisemnej (w tym elektronicznej), rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Xxxxxxxxxxxxx, zawierający informacje o:
- nazwie oraz danych kontaktowych Wykonawcy oraz innych podmiotów przetwarzających (w przypadku podpowierzenia danych osobowych, o którym mowa w rozdziale 4 Umowy) oraz Zamawiającego, a także inspektora ochrony danych, gdy ma to zastosowanie;
- kategoriach przetwarzań dokonywanych w imieniu Zamawiającego;
- gdy ma to zastosowanie – przekazywaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwie tego państwa trzeciego lub organizacji międzynarodowej;
- ogólnym opisie technicznych i organizacyjnych środków bezpieczeństwa, służących do zabezpieczenia powierzonych danych osobowych;
2.2.10. udostępniać Zamawiającemu, na każde jego żądanie, nie później niż w terminie 3 Dni Roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Zamawiającego obowiązków wynikających z właściwych przepisów prawa, w szczególności z RODO, w tym przekazywać informacje o stosowanych zabezpieczeniach, zidentyfikowanych zagrożeniach i incydentach w obszarze ochrony danych osobowych;
2.2.11. umożliwiać Zamawiającemu lub audytorowi upoważnionemu przez Zamawiającego przeprowadzanie audytów na zasadach określonych w rozdziale 6 Umowy;
2.2.12. niezwłocznie informować Zamawiającego, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych; informacja w tym przedmiocie przekazana powinna zostać Zamawiającemu w formie elektronicznej (na adres email wskazany w Załączniku A) oraz powinna zawierać stosowne uzasadnienie i wskazanie przepisu prawa, który zdaniem Wykonawcy został naruszony;
2.2.13. niezwłocznie, jednak nie później niż w ciągu 2 Dni Roboczych, informować (o ile nie doprowadzi to do naruszenia przepisów obowiązującego prawa) Zamawiającego o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych osobowych przez Wykonawca, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych, skierowanej do Wykonawcy, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Wykonawca, w szczególności prowadzonych przez organ nadzoru, a także o wszelkich skargach osób, których dane dotyczą związanych z przetwarzaniem ich danych osobowych;
2.2.14. przechowywać Dane osobowe tylko tak długo, jak to określił Zamawiający, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane dane osobowe zgodnie z wytycznymi Zamawiającego i Umową główną.
3. ŚRODKI ORGANIZACYJNE I TECHNICZNE
3.1. Wykonawca wdraża i stosuje adekwatne środki techniczne i organizacyjne, w celu zapewnienia stopnia bezpieczeństwa odpowiedniego do ryzyka naruszenia praw lub wolności osób fizycznych, których Dane osobowe są przetwarzane na podstawie Umowy.
3.2. Oceniając, czy stopień bezpieczeństwa, o którym mowa w pkt. 3.1 jest odpowiedni, Wykonawca jest zobowiązany uwzględnić ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
3.3. Wykonawca powinien również wdrożyć – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – odpowiednie środki techniczne i organizacyjne, zaprojektowane w celu skutecznej realizacji zasad ochrony danych określonych w RODO oraz w celu ochrony praw osób, których dane dotyczą (zasada ochrony danych osobowych w fazie projektowania określona w art. 25 ust. 1 RODO), a także odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania określonego w Załączniku A (zasada domyślnej ochrony danych określona w art. 25 ust. 2 RODO).
3.4. Wdrażając środki organizacyjne i techniczne, o których mowa powyżej, Wykonawca:
3.4.1. przestrzega wytycznych Zamawiającego w zakresie sposobu zabezpieczenia procesów przetwarzania danych osobowych zgodnie z przepisami obowiązującego prawa, o których mowa w pkt. 2.2.1 oraz 2.2.2;
3.4.2. powinien uwzględnić stan wiedzy technicznej oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, których dane osobowe będzie przetwarzał na podstawie Umowy.
3.5. W przypadku stwierdzenia, że stosowane środki mogą być nieadekwatne do rozpoznanych zagrożeń, Wykonawca informuje o tym Zamawiającego i w porozumieniu z Zamawiającym dostosowuje odpowiednio zabezpieczenia przetwarzania danych osobowych, po uzgodnieniu przez Strony zakresu, sposobu i terminu takich działań oraz podziału związanych z nimi kosztów.
3.6. W przypadku stwierdzenia przez Zamawiającego konieczności zastosowania dodatkowych środków zabezpieczających, Strony uzgodnią zakres, sposób i termin ich wdrożenia oraz podział kosztów wdrożenia.
4. PODPOWIERZENIE
4.1. Zamawiający wyraża zgodę na dalsze powierzenie przez Wykonawca przetwarzania Danych osobowych innym podmiotom przetwarzającym wskazanym w Załączniku B do Umowy w zakresie oraz celu zgodnym z Umową. Wykonawca jest zobowiązany do informowania o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia dalszych podmiotów przetwarzających. Zamawiający może sprzeciwić się dalszemu powierzeniu przez Wykonawca danych osobowych, w terminie 7 Dni Roboczych od otrzymania informacji, o której mowa w zdaniu poprzedzającym. W przypadku wyrażenia sprzeciwu przez Zamawiającego, Wykonawca nie jest uprawniony do powierzenia przetwarzania danych osobowych Wykonawcy, którego dotyczy sprzeciw.
4.2. Wykonawca zapewnia, że będzie korzystał wyłącznie z usług takich dalszych podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO oraz przepisów ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000)., a także zapewniało ochronę praw osób, których dane dotyczą.
4.3. Wykonawca zapewni w umowie z dalszym podmiotem przetwarzającym, że na podmiot ten zostaną nałożone obowiązki odpowiadające obowiązkom Wykonawcy określonym w Umowie, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO.
4.4. Wykonawca zapewni również w umowie z dalszym podmiotem przetwarzającym możliwość realizacji przez Zamawiającego bezpośredniej kontroli względem dalszego podmiotu przetwarzającego (w tym możliwość przeprowadzania audytów, o których mowa w rozdziale 6 Umowy). Wykonawca jest zobowiązany poinformować dalszy podmiot przetwarzający, że informacje, w tym dane osobowe, na temat tego podmiotu przetwarzającego mogą być udostępnione Zamawiającemu w celu wykonania przez niego uprawnień, o których mowa w zdaniu poprzedzającym.
4.5. Wykonawca jest w pełni odpowiedzialny przed Zamawiającym za spełnienie obowiązków wynikających z umowy powierzenia zawartej pomiędzy Wykonawcą a dalszym podmiotem przetwarzającym. Jeżeli dalszy podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Zamawiającego za wypełnienie obowiązków tego dalszego podmiotu przetwarzającego spoczywa na Wykonawcy.
4.6. Wykonawca zobowiązany jest zapewnić, by dalszy Wykonawca zaprzestał przetwarzania danych w każdym wypadku rozwiązania Umowy, niezależnie od przyczyny oraz w przypadku upływu okresu przetwarzania danych na podstawie Umowy głównej, o którym mowa w pkt 9.1 Umowy. W takim wypadku postanowienia pkt. 9.4 i 9.5 stosuje się odpowiednio.
5. TRANSFER DANYCH OSOBOWYCH
5.1. Wykonawca nie może przekazywać (transferować) Danych osobowych do państwa trzeciego, które znajduje się poza Europejskim Obszarem Gospodarczym, chyba że Zamawiający udzieli mu uprzedniej, pisemnej pod rygorem bezskuteczności, zgody zezwalającej na taki transfer.
5.2. Jeśli Zamawiający udzieli Wykonawcy uprzedniej zgody na przekazanie Danych osobowych do państwa trzeciego, które znajduje się poza Europejskim Obszarem Gospodarczym, Wykonawca może dokonać transferu tych danych osobowych tylko wtedy, gdy:
5.2.1. państwo docelowe zapewnia adekwatny poziom ochrony danych osobowych do tego, który obowiązuje w Unii Europejskiej; lub
5.2.2. Zamawiający i Wykonawca lub dalszy Wykonawca zawarli umowę w oparciu
o standardowe klauzule umowne lub wdrożyli inny mechanizm, który zgodnie
z przepisami prawa legalizuje transfer danych do państwa trzeciego.
6. AUDYT
6.1. Zamawiający jest w każdym momencie upoważniony do przeprowadzenia audytu zgodności przetwarzania danych osobowych przez Wykonawca z Umową oraz obowiązującymi przepisami prawa, w szczególności Zamawiający może przeprowadzić weryfikację zgodności i adekwatności środków technicznych i organizacyjnych zabezpieczających przetwarzanie danych osobowych wdrożonych przez Wykonawca.
6.2. Zamawiający poinformuje Wykonawca co najmniej na 3 Dni Robocze przed planowaną datą audytu o zamiarze jego przeprowadzenia, chyba że z uwagi na wysokie ryzyko zagrożenia praw i wolności osób, których dane dotyczą, audyt powinien być przeprowadzony niezwłocznie. Jeżeli w ocenie Wykonawcy audyt nie może zostać przeprowadzony we wskazanym terminie Wykonawca powinien poinformować o tym fakcie Zamawiającego drogą elektroniczną (przesyłając informację na adres email Wykonawcy wskazany w Załączniku A) wskazując uzasadnienie dla takiej oceny. W takim przypadku Strony wspólnie ustalą późniejszy termin audytu.
6.3. Wykonawca ma obowiązek współpracować z Zamawiającym i upoważnionymi przez niego audytorami, w szczególności zapewniać im dostęp do pomieszczeń i dokumentów obejmujących dane osobowe oraz informacje o sposobie przetwarzania danych osobowych, infrastruktury teleinformatycznej oraz systemów IT, a także do osób mających wiedzę na temat procesów przetwarzania danych osobowych realizowanych przez Wykonawca.
6.4. Po przeprowadzonym audycie przedstawiciel Zamawiającego sporządza protokół pokontrolny, który podpisują przedstawiciele obu Stron. Wykonawca zobowiązuje się w rozsądnym czasie, w terminie uzgodnionym z Zamawiającym, dostosować do zaleceń pokontrolnych zawartych w protokole, mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych. W przypadku gdy wdrożenie tych zaleceń będzie wiązać się z dodatkowymi kosztami, Xxxxxx wspólnie ustalą sposób ich ponoszenia przez Xxxxxx.
6.5. Zamawiający ma także prawo żądać od Wykonawcy składania pisemnych wyjaśnień dotyczących realizacji Umowy. Wykonawca zobowiązuje się odpowiedzieć niezwłocznie, jednak nie później niż w terminie 3 Dni Roboczych, na każde pytanie Zamawiającego dotyczące przetwarzania powierzonych mu na podstawie Umowy danych osobowych.
6.6. Wykonawca jest zobowiązany zapewnić w umowie z dalszym podmiotem przetwarzającym możliwość przeprowadzania przez Zamawiającego audytu zgodności przetwarzania danych osobowych przez dalszy Wykonawca z Umową na zasadach określonych w pkt. 6.1. – 6.4. powyżej.
6.7. Koszty związane z przeprowadzeniem audytu ponosi każda ze Stron we własnym zakresie, przy czym Wykonawca nie ma prawa do żądania zwrotu takich kosztów ani zapłaty jakiegokolwiek dodatkowego wynagrodzenia z tytułu poniesienia takich kosztów.
7. POUFNOŚĆ
7.1. Strony mają obowiązek ochrony informacji poufnych w rozumieniu Umowy głównej, niezależnie od formy ich przekazania i przetwarzania, w tym informacjami poufnymi są powierzone przez Zamawiającego dane osobowe, w tym szczególne kategorie danych osobowych (w rozumieniu art. 9 ust. 1 RODO).
7.2. Strony w szczególności zapewniają, że:
7.2.1. wszelkie przekazane, udostępnione lub ujawnione Stronie przez drugą Stronę informacje poufne będą chronione i zachowane w tajemnicy, w sposób zgodny z obowiązującymi przepisami prawa oraz postanowieniami Umowy;
7.2.2. uzyskane informacje poufne zostaną użyte i wykorzystane wyłącznie w celu
wykonania Umowy;
7.2.3. posiadane informacje poufne nie zostaną przekazane lub ujawnione żadnej osobie trzeciej – bezpośrednio ani pośrednio (z zastrzeżeniem wyjątków przewidzianych w Umowie) – bez uprzedniej zgody drugiej Strony, wyrażonej w formie pisemnej;
7.2.4. Strona będzie chronić na swój koszt informacje poufne poprzez dołożenie najwyższego poziomu staranności.
7.3. Strony zobowiązują się nie kopiować, ani w inny sposób nie powielać dostarczonych przez drugą stronę informacji poufnych lub ich części, z wyjątkiem przypadków, kiedy jest to konieczne w celu wykonania Umowy lub w innym celu ściśle związanym z przedmiotem współdziałania Stron. Wszelkie wykonane w takim przypadku kopie lub reprodukcje informacji poufnych, utrwalonych na jakichkolwiek nośnikach informacji, łącznie z nośnikami elektronicznymi, pozostają własnością strony przekazującej i zostaną wydane, zniszczone lub skutecznie usunięte z nośników informacji na jego żądanie.
7.4. Informacje poufne mogą zostać przekazane tylko upoważnionym pracownikom Stron, osobom zatrudnionym przez Stronę na podstawie umów cywilnoprawnych, podwykonawcom Strony, którzy z uwagi na zakres swych obowiązków, bądź zadania im powierzone będą zaangażowani w wykonanie Umowy na rzecz drugiej strony i którzy zostaną wcześniej wyraźnie poinformowani o charakterze informacji poufnych oraz o zobowiązaniach Stron do zachowania ich w tajemnicy wynikających z Umowy oraz zobowiążą się do przestrzegania zasad ochrony informacji poufnych, w tym procedur bezpieczeństwa wynikających z obowiązujących przepisów prawa i Umowy głównej. Strona udzielająca upoważnianie drugiej strony do udzielania dalszych upoważnień do przetwarzania informacji poufnych. Strony ponosi całkowitą odpowiedzialność za działania i zaniechania ww. osób.
7.5. Strona będzie zwolniona z obowiązku zachowania w tajemnicy informacji poufnych w przypadku, gdy obowiązek ujawnienia informacji poufnych wynikać będzie z bezwzględnie obowiązujących przepisów prawa, bądź też prawomocnego orzeczenia lub decyzji uprawnionego sądu lub organu. O każdorazowym powzięciu informacji o takim obowiązku
Wykonawca jest zobowiązany niezwłocznie, nie później niż w terminie 24 godzin od dowiedzenia się o nim, powiadomić drugą stronę. W takim przypadku Strona obowiązana jest do:
7.5.1. ujawnienia tylko takiej części informacji poufnych, jaka jest wymagana przez
prawo;
7.5.2. podjęcia wszelkich możliwych działań w celu zapewnienia, iż ujawnione informacje poufne będą traktowane w sposób poufny i wykorzystywane tylko w zakresie uzasadnionym celem ujawnienia.
7.6. Zobowiązanie do zachowania poufności nie wygasa po zakończeniu i jest ważne przez
okres 10 lat od dnia wygaśnięcia Umowy głównej, niezależnie od przyczyny.
8. ZGŁASZANIE NARUSZEŃ
8.1. Wykonawca jest zobowiązany do wdrożenia i stosowania procedur służących wykrywaniu naruszeń ochrony danych osobowych oraz wdrażaniu właściwych środków naprawczych.
8.2. Po stwierdzeniu naruszenia ochrony powierzonych mu przez Zamawiającego danych osobowych Wykonawca, bez zbędnej zwłoki, jednak nie później niż w ciągu 24 godzin od wykrycia naruszenia, zgłasza je Zamawiającemu. Zgłoszenie powinno zawierać co najmniej informacje o:
8.2.1. dacie, czasie trwania oraz lokalizacji naruszenia ochrony danych osobowych;
8.2.2. charakterze i skali naruszenia, tj. w szczególności o kategoriach i przybliżonej liczbie osób, których dane dotyczą, oraz kategoriach i przybliżonej liczbie wpisów danych osobowych, których dotyczy naruszenie;
8.2.3. systemie informatycznym, w którym wystąpiło naruszenie (jeżeli naruszenie nastąpiło w związku z przetwarzaniem danych w systemie informatycznym);
8.2.4. przewidywanym czasie potrzebnym do naprawienia szkody spowodowanej naruszeniem;
8.2.5. charakterze i zakresie danych osobowych objętych naruszeniem;
8.2.6. kategoriach osób, których dotyczą dane osobowe objęte naruszeniem, a w razie możliwości także wskazania podmiotów danych, których dotyczyło naruszenie;
8.2.7. możliwych konsekwencjach naruszenia, z uwzględnieniem konsekwencji dla osób, których dane dotyczą;
8.2.8. środkach podjętych w celu zminimalizowania konsekwencji naruszenia oraz proponowanych działaniach zapobiegawczych i naprawczych;
8.2.9. danych kontaktowych osoby mogącej udzielić dalszych informacji o naruszeniu.
8.3. Jeżeli Wykonawca nie jest w stanie w tym samym czasie przekazać Zamawiającemu wszystkich informacji, o których mowa powyżej, powinien je udzielać sukcesywnie, bez zbędnej zwłoki.
8.4. Wykonawca bez zbędnej zwłoki podejmuje wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków naruszenia.
8.5. Wykonawca jest zobowiązany do dokumentowania wszelkich naruszeń ochrony powierzonych mu danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutków oraz podjętych działań zaradczych. Wykonawca jest zobowiązany na każde żądanie Zamawiającego niezwłocznie udostępnić mu dokumentację, o której mowa w zdaniu poprzednim.
8.6. Wykonawca nie będzie bez wyraźnej instrukcji Zamawiającego powiadamiał o naruszeniu:
8.6.1. osób, których dane dotyczą; ani
8.6.2. organu nadzorczego.
9. CZAS TRWANIA PRZETWARZANIA ORAZ ZASADY ODPOWIEDZIALNOŚCI
9.1. Zamawiający powierza Wykonawcy, przetwarzanie danych osobowych na czas obowiązywania Umowy głównej z zastrzeżeniem, że w stosunku do każdej w zakresie określonym w Załączniku A do Umowy.
9.2. Zamawiający uprawniony jest do wypowiedzenia Umowy ze skutkiem natychmiastowym w przypadku zaistnienia ważnych powodów, w tym także w razie naruszenia przez Wykonawca lub dalszy Wykonawca przepisów RODO, innych obowiązujących przepisów prawa lub Umowy, a w szczególności, gdy:
9.2.1. organ nadzoru nad przestrzeganiem zasad przetwarzania danych osobowych stwierdzi, że Wykonawca lub dalszy Wykonawca nie przestrzega zasad przetwarzania danych osobowych,
9.2.2. prawomocne orzeczenie sądu powszechnego wykaże, że Wykonawca nie
przestrzega zasad przetwarzania danych osobowych;
9.2.3. Zamawiający, w wyniku przeprowadzenia audytu, o którym mowa w rozdziale 6 Umowy stwierdzi, że Wykonawca nie przestrzega zasad przetwarzania danych osobowych wynikających z Umowy lub obowiązujących przepisów prawa lub Wykonawca nie zastosował się do zaleceń pokontrolnych, o których mowa w pkt. 6.4.
9.3. Naruszenie przez Wykonawca postanowień Umowy, RODO lub innych obowiązujących przepisów prawa z zakresu ochrony danych osobowych stanowi podstawę do wypowiedzenia Umowy głównej.
9.4. W dniu zakończenia obowiązywania Umowy Wykonawca powinien zgodnie z dyspozycją Zamawiającego zwrócić lub zniszczyć, w sposób odrębnie ustalony z Zamawiającym, wszelkie Dane osobowe i ich kopie, chyba że właściwe przepisy prawa krajowego lub unijnego nakazują przechowywanie tych Danych osobowych.
9.5. Na prośbę Zamawiającego Wykonawca przesyła pisemne potwierdzenie zniszczenia
Danych osobowych w terminie przez niego wskazanym.
9.6. W przypadku ograniczenia zakresu powierzenia przetwarzania przez Zamawiającego, w trybie określonym w Umowie, postanowienia o rozwiązaniu Umowy stosuje się odpowiednio do danych, które wskutek ograniczenia zakresu nie mogą już być przetwarzane przez Wykonawca.
9.7. W przypadku dalszego powierzenia przetwarzania Danych osobowych Wykonawca zobowiązuje się do zawarcia w umowach z dalszymi podmiotami przetwarzającymi postanowień, zgodnie z którymi dalszy Wykonawca zaprzestanie przetwarzania powierzonych danych osobowych w każdym wypadku rozwiązania Umowy – z dniem rozwiązania oraz w przypadku upływu okresu przetwarzania danych na podstawie Umowy głównej, o którym mowa w pkt 9.1 Umowy. W takim wypadku postanowienia pkt. 9.4 i 9.5 stosuje się odpowiednio.
9.8. Wykonawca odpowiada za szkody, jakie powstaną u Zamawiającego, osób, których dane dotyczą lub innych osób trzecich w wyniku niezgodnego z Umową lub przepisami prawa przetwarzania przez Wykonawca Danych osobowych, a w szczególności w związku z udostępnianiem Danych osobowych osobom nieupoważnionym.
9.9. Wykonawca ponosi względem Zamawiającego odpowiedzialność na zasadach ogólnych.
9.10 Rozwiązanie Umowy z jakiejkolwiek przyczyny nie ma wpływu na możliwość dochodzenia przez Zamawiającego odszkodowania.
10. ADRESY STRON I DANE OSÓB
10.1. Wszelka korespondencja w sprawach związanych z Umową będzie kierowana na adresy Stron wskazane w Załączniku A.
10.2. Wykonawca w kontaktach z Zamawiającym oraz Zamawiającego w kontaktach z Wykonawcą w zakresie ustaleń Umowy reprezentować będą osoby wskazane w Załączniku A. Zmiana adresów i danych tych osób nie stanowi zmiany Umowy. O każdej zmianie powyższych danych Strony powiadomią się na piśmie, za potwierdzeniem odbioru lub drogą elektroniczną. Osoby wskazane w Załączniku A nie są uprawnione do zmiany Umowy, jej wypowiedzenia lub rozwiązania, chyba że co innego wynika z treści okazanego przez nie pełnomocnictwa.
11. POSTANOWIENIA KOŃCOWE
11.1. Niniejsza Umowa podlega prawu polskiemu. Umowa została sporządzona w dwóch egzemplarzach, po jednym dla Zamawiającego i Wykonawcy.
11.2. Zmiany Umowy są możliwe wyłącznie w formie pisemnej pod rygorem nieważności, z zastrzeżeniem sytuacji, w których Umowa wprost przewiduje inną formę dokonywania zmian.
11.3. Wykonawca nie może przenieść praw lub obowiązków wynikających z Umowy bez
uprzedniej zgody Zamawiającego wyrażonej w formie pisemnej pod rygorem nieważności.
11.4. Wszelkie spory w związku z Umową zostaną poddane pod rozstrzygnięcie sądu powszechnego miejscowo właściwego dla Zamawiającego.
11.5. Załączniki do Umowy stanowią jej integralną część. Lista Załączników jest następująca:
11.5.1. Załącznik A – Zakres powierzenia danych osobowych;
11.5.2. Załącznik B – Lista dalszych podmiotów przetwarzających (wzór).
11.5.3. Załącznik C – Wykaz Umów Głównych
ZAMAWIAJĄCY WYKONAWCA
……………………………………. | ………………………………………. |
(data i podpis Zamawiającego) | (data i podpis Wykonawcy) |
ZAŁĄCZNIK A
ZAKRES POWIERZENIA DANYCH OSOBOWYCH ORAZ DANE KONTAKTOWE STRON
1. Umowa nr CSIOZ/…./2020
1) Charakter oraz cele przetwarzania:
Przetwarzanie danych w celu realizacji umowy CSIOZ/…/2020
2) Kategorie osób, których dane dotyczą:
a. Nr telefonu odbiorcy SMS
b. Data i godzina wysłania SMS
c. Kod dostępu
d. Informacja o wystawieniu recepty
3) Rodzaj danych osobowych: dane zwykłe
4) Obszar, na którym przetwarzane będą dane osobowe: UE
5) Dane kontaktowe stron:
a. Wszelka korespondencja w sprawach związanych z Umową będzie kierowana do Zamawiającego na następujące dane kontaktowe:
Dane kontaktowe wskazane w §11 ust. 3 pkt 1 Umowy Głównej.
b. Wszelka korespondencja w sprawach związanych z Umową będzie kierowana do Wykonawcy na następujące dane kontaktowe: adres :
Dane kontaktowe wskazane w §11 ust. 3 pkt 2 Umowy Głównej.
6) Dane przedstawicieli Stron:
a. Wykonawcę w kontaktach z Zamawiającym w zakresie ustaleń Umowy reprezentować będą następujące osoby:
Osoby wskazane w §11 ust. 2 Umowy Głównej.
b. Zamawiającego w kontaktach z Wykonawcą w zakresie ustaleń Umowy reprezentować będą następujące osoby:
Osoby wskazane w §11 ust. 1 Umowy Głównej.
ZAŁĄCZNIK B
WYKAZ DALSZYCH PODMIOTÓW PRZETWARZAJĄCYCH
1. Umowa nr ………………
1. ………………………….. Personel Podwykonawcy: 1………………….
ZAŁĄCZNIK C
WYKAZ UMÓW GŁÓWNYCH
1. Umowa nr CSIOZ/../2020