Umowa powierzenia przetwarzania danych osobowych
Umowa powierzenia przetwarzania danych osobowych
Zawarta w dniu (...) r. w Krakowie pomiędzy:
Samodzielnym Publicznym Zakładem Opieki Zdrowotnej Uniwersytecka Klinika Stomatologiczna w Krakowie, ul. Xxxxxxxxxxx 0, 00-000 Xxxxxx, wpisanym do rejestru stowarzyszeń, innych organizacji społecznych i zawodowych, fundacji oraz samodzielnych publicznych zakładów opieki zdrowotnej Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla Krakowa-Śródmieścia w Krakowie Wydział XI Gospodarczy Krajowego Rejestru Sądowego pod nr KRS 0000006328, NIP 6751219110, REGON 357070478, reprezentowanym przez:
Xxxxx Xxxxxxxxxxxxxxx – Dyrektora,
Zwanym dalej „Powierzającym” i/ lub „Administratorem”
a
zwanym dalej „Podmiotem przetwarzającym” lub „Procesorem” zwane dalej „Stronami” lub każda z nich indywidualnie „Stroną” o następującej treści:
§ 1
Oświadczenia Stron
1. Administrator oświadcza, że jest Administratorem Danych Osobowych w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane dalej RODO, w stosunku do danych powierzonych Procesorowi.
2. Podmiot przetwarzający oświadcza, że dysponuje odpowiednimi środkami, w tym należytymi zabezpieczeniami, które umożliwiają przetwarzanie danych osobowych.
3. Podmiot przetwarzający oświadcza, że przygotował stosowną dokumentację niezbędną do prawidłowego przetwarzania danych osobowych oraz podjął działania, aby zapewnić zgodność procesów z wymogami prawa w zakresie ochrony danych osobowych.
§ 2
Zakres i cel przetwarzania danych osobowych
1. W związku z realizacją przez Procesora Umowy nr DZP-4241- (…) /22, Administrator powierza Procesorowi, w trybie art. 28 ust. 3 RODO, przetwarzanie danych osobowych, a Podmiot przetwarzający zobowiązuje się, bez wynagrodzenia, do ich przetwarzania zgodnie z przepisami RODO oraz innymi powszechnie obowiązującymi przepisami prawa.
2. Procesor będzie przetwarzał, powierzone na podstawie niniejszej umowy, następujące kategorie danych osobowych:
1.1Dane pacjentów Administratora, w tym dane identyfikacyjne, tj. imię, nazwisko, numer PESEL, numer HZiCH,
2.1Dane pacjentów Administratora, w tym dane szczególnych kategorii - dane biometryczne,
3.1Dane pracowników Administratora, którzy biorą udział w wykonywaniu Umowy nr DZP-4241- (…) /22, w zakresie ich imienia i nazwiska, numer telefonu, adresu e-mail.
3. Dane wymienione w § 2 ust 2, mogą być przetwarzane przez Podmiot Przetwarzający poprzez wgląd do tych danych, ich utrwalanie, przechowywanie oraz inne czynności związane realizacją Umowy nr (…)
4. Podmiot przetwarzający uprawniony jest przetwarzania danych osobowych określonych w § 2 ust. 2 na potrzeby realizacji Umowy nr DZP-4241- (…) /22. Wszelkie inne operacje na powierzonych Podmiotowi Przetwarzającemu danych osobowych są zakazane, w szczególności zakazane jest przekazywanie danych
osobowych osobom trzecim, jak również zakazane jest przekazywanie danych do państwa trzeciego lub do organizacji międzynarodowych w rozumieniu przepisów RODO.
5. Zakres danych osobowych wymienionych w § 2 ust. 2 jest maksymalnym katalogiem danych, które mogą być przekazywane w związku z realizacją niniejszej Umowy. W rzeczywistości dane mogą być przekazywane przez Administratora w znacznie mniejszym zakresie bez uszczerbku dla postanowień niniejszej Umowy. Zakres danych może ulec zmianie w przypadku zmiany aktualnie obowiązujących przepisów.
§ 3
Zobowiązania Procesora
1. Procesor zobowiązuje się, przy przetwarzaniu danych osobowych, o których mowa w § 2 ust. 2, do ich właściwego zabezpieczenia, poprzez podjęcie działań zapewniających adekwatne do kategorii przetwarzanych danych środki organizacyjne, środki ochrony fizycznej, środki techniczne (infrastrukturę informatyczną), a przede wszystkim środki ochrony w ramach narzędzi programowych i baz danych.
2. Procesor zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą Umową, ustawą z 10 maja 2018 r. o ochronie danych osobowych, RODO oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą, w każdym wypadku wyłącznie na polecenie Administratora udokumentowane w formie wydanego przez Administratora zlecenia wykonania świadczenia zdrowotnego, zgodnie z postanowieniami Umowy nr DZP-4241- (…) /22.
3. Procesor zobowiązuje się niezwłocznie zawiadomić Administratora o:
1.1każdym prawnie umocowanym żądaniu udostępnienia danych osobowych właściwemu organowi państwa, chyba, że zakaz zawiadomienia wynika z przepisów prawa, a szczególności przepisów postępowania karnego, gdy zakaz ma na celu zapewnienia poufności wszczętego dochodzenia lub śledztwa;
2.1 każdym nieupoważnionym dostępie do danych osobowych;
3.1każdym żądaniu otrzymanym od osoby, której dane przetwarza, powstrzymując się jednocześnie od odpowiedzi na żądanie.
4. Administrator ma prawo do kontroli sposobu wykonywania niniejszej Umowy poprzez przeprowadzenie zapowiedzianych na 7 dni kalendarzowych wcześniej doraźnych kontroli dotyczących przetwarzania danych osobowych przez Procesora oraz żądania składania przez niego pisemnych wyjaśnień.
5. Na zakończenie kontroli, o których mowa w ust. 4, przedstawiciel Administratora sporządza protokół w 2 (dwóch) egzemplarzach, który podpisują przedstawiciele obu stron. Procesor może wnieść zastrzeżenia do protokołu w ciągu 3 dni roboczych od daty jego podpisania przez Xxxxxx.
6. Procesor zobowiązuje się dostosować do zaleceń pokontrolnych mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych, w czasie który nie narazi interesów Administratora i nie wpłynie negatywnie na jego bieżącą działalność.
7. Procesor zobowiązuje się odpowiedzieć niezwłocznie i właściwie na każde pytanie Administratora dotyczące przetwarzania powierzonych mu na podstawie Umowy powierzenia danych osobowych, jak też udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.
8. Procesor zobowiązuje się dopuszczać do przetwarzania danych osobowych osoby realizujące niniejszą Umowę oraz Umowę nr DZP-4241- (…) /22 wyłącznie na podstawie udzielonych im upoważnień do przetwarzania danych osobowych oraz po poinformowaniu i przeszkoleniu ich z zasad bezpieczeństwa pracy z danych osobowymi.
9. Podmiot przetwarzający zobowiązuje się zagwarantować, by:
1.1. każda osoba realizująca niniejszą Umowę była zobowiązana do zapewnienia poufności danych osobowych przetwarzanych w związku z wykonywaniem Umowy, a w szczególności do tego, że nie przekazywała, ujawniała i udostępniała tych danych osobom nieuprawnionym;
1.2. każda osoba realizująca niniejszą Umowę zobowiązana była do zachowania w tajemnicy sposobów zabezpieczenia danych osobowych, o ile nie są one jawne;
1.3. każda osoba realizująca niniejszą Umowę zobowiązana była do niepowodowania niezgodnych z Umową zmian danych lub utraty, uszkodzenia lub zniszczenia tych danych;
1.4. Każda osoba realizująca niniejszą Umowę zobowiązana była do niedokonywania jakiegokolwiek kopiowania i utrwalania danych osobowych poza czynnościami, które zlecił Administrator.
10.Procesor zobowiązuje wspierać Administratora w miarę swoich możliwości, przez odpowiednie środki techniczne i organizacyjne, wywiązać się obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III oraz art. 32-36 RODO.
11.W wywiązywaniu się z obowiązków określonych w art. 32-36 RODO, w szczególności w przypadku stwierdzenia naruszenia zasad ochrony i przetwarzania powierzonych danych osobowych na podstawie Umowy, zgłasza je Administratorowi niezwłocznie, jednak nie później niż w terminie 24 godzin od chwili stwierdzenia naruszenia.
§ 4
Podpowierzenie
1. Administrator nie upoważnia Procesora do dalszego powierzenia przetwarzania, wskazanych w § 2 ust. 2 niniejszej umowy, danych osobowych.
2. Jeżeli w celu niezbędnym do realizacji Umowy nr DZP-4241- (…) /22 konieczne będzie skorzystanie przez Procesora z usług podwykonawcy, Procesor poinformuje o tym Administratora i uzyska jego pisemną zgodę.
3. Procesor jest zobowiązany do zapewnienia, że podmioty z którymi nawiązuje współprace (ust. 2 powyżej), spełniają takie same wymagania i obowiązki ochrony danych osobowych, jak Procesor, w szczególności zapewniania wystarczających gwarancji wdrożenia odpowiednich środków organizacyjnych i technicznych, aby przetwarzanie odpowiadało wymogom aktualnie obowiązujących przepisów w zakresie ochrony danych osobowych.
4. Procesor ponosi odpowiedzialność wobec Administratora za naruszenie postanowień niniejszej Umowy przez podmioty wskazane w ust. 2 powyżej.
§ 5
Odpowiedzialność Procesora
1. Procesor jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z Umową, a w szczególności za udostępnienie osobom nieupoważnionym.
2. Podmiot przetwarzający ponosi wobec Administratora oraz osób trzecich, w tym także wobec pacjentów Administratora, pełną odpowiedzialność za szkody powstałe w związku z nienależytym przetwarzaniem powierzonych danych osobowych. Administrator uprawniony będzie do nałożenia na Podmiot przetwarzający kary umownej w wysokości 5.000,00 zł (słownie: pięć tysięcy złotych) za każdy przypadek naruszenia przez Podmiot przetwarzający zasad przetwarzaniach danych osobowych. Administrator uprawniony będzie także do dochodzenia odszkodowania przewyższającego wysokość zastrzeżonej kary umownej na zasadach ogólnych.
3. W przypadku naruszenia przepisów ustawy o ochronie danych osobowych, RODO lub niniejszej Umowy z przyczyn leżących po stronie Procesora, w następstwie czego Administrator zostanie zobowiązany do wypłaty odszkodowania lub zostanie ukarany karą grzywny, Procesor zobowiązuje się pokryć poniesione przez Administratora z tego tytułu straty i koszty.
§ 6
Czas trwania umowy oraz warunki wypowiedzenia Umowy
1. Niniejsza Umowa obowiązuje przez okres trwania Umowy nr DZP-4241- (…) /22.
2. W każdym wypadku niniejsza Umowa przestaje wiązać Strony z dniem, w którym Strony przestają być związane postanowieniami Umowy nr. DZP-4241- (…) /22
3. Administrator ma prawo rozwiązać niniejszą Umowę w trybie natychmiastowym, gdy Procesor: 1.1wykorzystał dane osobowe w sposób niezgodny z niniejszą Umową lub powszechnie obowiązującymi
przepisami prawa,
2.1powierzył przetwarzanie danych osobowych podwykonawcom, niezgodnie z zapisami niniejszej Umowy, 3.1po stwierdzeniu uchybień, nie zaprzestanie niewłaściwego przetwarzania danych osobowych, 4.1zawiadomi o swojej niezdolności do dalszego wykonywania niniejszej Umowy, a w szczególności
niespełniania wymagań określonych w §3.
§ 7
Rozwiązanie Umowy
Procesor, w przypadku wygaśnięcia Umowy nr DZP-4241- (…) /22 i niniejszej Umowy, niezwłocznie, ale nie później niż w terminie do 14 dni kalendarzowych, zobowiązuje się zwrócić lub usunąć wszelkie dane osobowe,
których przetwarzanie zostało mu powierzone, w tym skutecznie usunąć je również z wszelkich nośników danych pozostających w jego dyspozycji.
§8
Poufność
1. Procesor zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych mogących naruszać prawo do prywatności osób fizycznych (danych osobowych) otrzymanych od Administratora i od współpracujących z nim osób/podmiotów oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy, w formie ustnej, pisemnej lub elektronicznej lub innej.
2. Procesor oświadcza, z zastrzeżeniem § 4, że informacje (dane osobowe) nie będą wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie Umowy nr DZP-4241- (…)/22. chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa.
3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych gwarantowały zabezpieczenie danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
§ 9
Postanowienia końcowe
1. Wszelkie zmiany niniejszej umowy wymagają formy pisemnej pod rygorem nieważności.
2. W sprawach nieuregulowanych niniejszą umową zastosowanie znajdują przepisy ustawy o ochronie danych osobowych, RODO oraz innych przepisów.
3. Spory wynikłe z tytułu Umowy będzie rozstrzygał Sąd właściwy dla miejsca siedziby Administratora.
4. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.