Załącznik
5 do Umowy o przeprowadzenie badania klinicznego
Umowa
powierzenia przetwarzania danych
Niniejsza
Umowa powierzenia przetwarzania danych z dnia __ ____ _______ r.
(„Umowa”) została zawarta przez:
Uniwersytecki
Szpital Klinicznym w Opolu,
00-000 Xxxxx, xx. Al. W. Xxxxxx 00, wpisany przez Sąd Rejonowy w
Opolu Wydział VIII Gospodarczy Krajowego Rejestru Sądowego do
rejestru stowarzyszeń, innych organizacji społecznych i
zawodowych, fundacji i publicznych zakładów opieki zdrowotnej
Krajowego Rejestru Sądowego pod numerem: 0000014443,
posiadającym NIP: 7542563619 oraz REGON: 530512391, („Sponsor”)
reprezentowanym
przez Xxxxxxxx Xxxxxx – Dyrektora Generalnego,
i
________________
z
siedzibą w ________ przy
ul.
______________nr _______, NIP:________, REGON:__________,
KRS:_________ („Instytucja”), reprezentowanym przez:
___________
i
__________
zamieszkałą/łym w ___________________ przy ulicy
_________numer ________________, PESEL (w przypadku osoby
fizycznej): ______________, NIP (w przypadku działalności
gospodarczej): _______________, której/go miejsce pracy znajduje
się pod adresem: __________________ („Badacz”),
|
PREAMBUŁA
|
ZWAŻYWSZY,
ŻE
Sponsor
zawarł umowę o prowadzenie niekomercyjnego badania klinicznego
z Instytucją i Badaczem („Umowa Główna”) w celu
przeprowadzenia niekomercyjnego badania klinicznego („Badanie")
opisanego w protokole ……………… („Protokół”).
Sponsor
jest odpowiedzialny za wykonywanie praw i obowiązków
dotyczących Przetwarzania danych osobowych zgodnie z
postanowieniami Umowy.
|
ZWAŻYWSZY,
ŻE zgodnie z obowiązującymi w
Unii Europejskiej wymogami ochrony danych strony chcą uzupełnić
postanowienia Umowy Głównej, o dodatkowe postanowienia w
zakresie ochrony danych i doprecyzować rolę Sponsora,
Instytucji i Badacza, w tym członków Zespołu Badawczego
wyznaczonego do prowadzenia Badania.
|
W
związku z powyższym,
mając na uwadze postanowienia określone w niniejszej Umowie,
strony postanowiły, co następuje:
|
Przedmiot
niniejszej Umowy
|
Niniejsza
Umowa ma zastosowanie wyłącznie do Przetwarzania danych
osobowych zbieranych do celów Badania, prowadzonego przez każdą
Stronę na mocy Umowy Głównej. Opis Przetwarzania danych przez
każdy Podmiot przetwarzający dane i czas trwania Przetwarzania
podano w Dodatkowych
informacjach o Przetwarzaniu.
|
Termin
„Prawo w zakresie ochrony danych” oznacza: (i) ogólne
rozporządzenie o ochronie danych (UE) 2016/679 („RODO”),
z późniejszymi zmianami i w kolejnych wersjach) oraz wszelkie
prawa w zakresie ochrony danych znacznie zmieniające lub
zastępujące RODO po wystąpieniu Wielkiej Brytanii z Unii
Europejskiej, wraz z wszelkimi dodatkowymi przepisami i
regulacjami wprowadzającymi w życie, które zostaną wydane
przez właściwe organy nadzoru oraz inne (ii) obowiązujące w
Europejskim Obszarze Gospodarczym (EOG) i Szwajcarii przepisy,
regulacje i wymagania administracyjne w zakresie ochrony danych.
|
Terminy
takie jak „Przetwarzanie”, „Dane osobowe”,
„Administrator danych” i „Podmiot przetwarzający” mają
znaczenie określone w Prawie w zakresie ochrony danych.
Instytucja i Badacz nazywane są dalej również Podmiotami
przetwarzającymi.
|
O
ile Podmioty przetwarzające dane będą przetwarzać Dane
osobowe w celu prowadzenia Badania, do takiego Przetwarzania
zastosowanie mają postanowienia niniejszej Umowy.
|
Sponsor,
Instytucja i Badacz
|
Przed
przekazaniem Danych osobowych do Sponsora, Instytucja lub Badacz
zobowiązani są usunąć wszelkie bezpośrednie identyfikatory
uczestników Badania w Instytucji („Uczestnicy
Badania”)
(np. nazwisko, numer identyfikacyjny) i zastąpić je kodem,
który nie pozwoli Sponsorowi ani żadnej osobie trzeciej
zidentyfikować Uczestników Badania, chyba że będzie to
konieczne do celów audytu lub monitorowania Sponsora.
|
Sponsor
uznaje się za Administratora danych wobec Danych Uczestników
Badania Przetwarzanych na potrzeby prowadzenia Badania („Dane
Badawcze”). Instytucja oraz Badacz są procesorami Sponsora.
Do celów prowadzenia Badania, Sponsor powierza Instytucji oraz
Badaczowi Przetwarzanie Danych Badawczych.
Każdy
Podmiot przetwarzający dane przetwarza dane zgodnie z
postanowieniami niniejszej Umowy i Umowy Głównej. Dla większej
przejrzystości, Xxxxxx wskazują, że Instytucja jest
niezależnym Administratorem danych osobowych Przetwarzanych
przez Instytucję i Badacza, do celów świadczenia opieki
medycznej przez Instytucję, a ich obowiązki w zakresie danych
osobowych są określone w obowiązujących przepisach
dotyczących ochrony danych.
|
Sponsor
określi zakres, cele i sposób Przetwarzania Danych Badawczych
przez Sponsora i każdy Podmiot przetwarzający dane do celów
prowadzenia Badania. Każdy Podmiot przetwarzający dane
przetwarza Dane Badawcze wyłącznie w sposób przewidziany w
pisemnych instrukcjach Sponsora przekazanych bezpośrednio lub
za pośrednictwem CRO (a także zgodnie z postanowieniami Umowy
Głównej).
|
Każdy
Podmiot przetwarzający dane przetwarza Dane Badawcze wyłącznie
na podstawie udokumentowanych instrukcji Sponsora (a także
zgodnie z postanowieniami Umowy Głównej i Protokołem), w
sposób i w zakresie odpowiednim do prowadzenia Badania, chyba
że jest zobowiązany przestrzegać zobowiązania prawnego,
które ciąży na każdym Podmiocie przetwarzającym dane. W
takim wypadku odpowiedni Podmiot przetwarzający dane zawiadomi
Sponsora o tym zobowiązaniu prawnym przed podjęciem
Przetwarzania, chyba że prawo wyraźnie zabrania podawania temu
podmiotowi takiej informacji. Niezależnie od powyższego,
Podmioty przetwarzające dane nie mogą przetwarzać Danych
Badawczych w sposób niezgodny z udokumentowanymi instrukcjami
Sponsora przekazanymi bezpośrednio lub za pośrednictwem CRO.
Każdy Podmiot przetwarzający dane niezwłocznie zawiadamia
Sponsora jeśli jego zdaniem instrukcja narusza Prawo w zakresie
ochrony danych.
|
W
zakresie wymaganym obowiązującymi przepisami, CRO w imieniu
Sponsora zapewni Podmiotom przetwarzającym dane (lub
któremukolwiek z nich) formularz świadomej zgody do stosowania
przez Badacza w celu zapewnienia uzyskania niezbędnej zgody
wszystkich Uczestników Badania na wykorzystanie i Przetwarzanie
Danych Badawczych lub w inny sposób zapewni, że Przetwarzanie
Danych Badawczych jest zgodne z Prawem w zakresie ochrony
danych. Badacz zadba o prowadzenie ewidencji takich zgód (w
odpowiednich sytuacjach). Jeśli zgoda zostanie odwołana przez
Uczestnika Badania, Xxxxxx odpowiada za zawiadomienie o tym
fakcie CRO lub Sponsora, a Badacz pozostaje odpowiedzialny za
wdrożenie instrukcji Sponsora w odniesieniu do dalszego
Przetwarzania tych Danych Badawczych.
|
W
zakresie wymaganym obowiązującymi przepisami Sponsor zapewni
Badaczowi informację o polityce prywatności Sponsora do
stosowania przez Badacza w celu zapewnienia uzyskania niezbędnej
zgody wszystkich członków Zespołu Badawczego na wykorzystanie
i Przetwarzanie ich Danych osobowych („Dane
osobowe Zespołu Badawczego”)
lub w inny sposób zapewni, że Przetwarzanie Danych osobowych
Zespołu Badawczego jest zgodne z Prawem w zakresie ochrony
danych. Badacz zadba o prowadzenie ewidencji takich zgód (w
odpowiednich sytuacjach). Jeśli zgoda zostanie odwołana przez
członka Zespołu Badawczego, Xxxxxx odpowiada za zawiadomienie
o tym fakcie CRO lub Sponsora, a Badacz pozostaje odpowiedzialny
za wdrożenie instrukcji w odniesieniu do dalszego Przetwarzania
tych Danych osobowych Zespołu Badawczego.
|
Obowiązek
zachowania poufności
|
Bez
uszczerbku dla dotychczasowych postanowień umownych między
Stronami a Sponsorem, każdy Podmiot przetwarzający dane
zobowiązuje się traktować wszystkie Dane Badawcze jako ściśle
poufne i zawiadomić wszystkich odpowiednich pracowników,
przedstawicieli i zatwierdzonych podwykonawców Przetwarzania
biorących udział w Przetwarzaniu Danych Badawczych o poufnym
charakterze Danych Badawczych. Każdy Podmiot przetwarzający
dane zapewni, że wszystkie osoby i podmioty podpisały
odpowiednią umowę o zachowanie poufności, są w inny sposób
zobowiązane do zachowania poufności lub mają odpowiedni
ustawowy obowiązek zachowania poufności.
|
Bezpieczeństwo
|
Uwzględniając
aktualny stan techniki, koszty wdrożenia i charakter, zakres,
kontekst i cele Przetwarzania oraz ryzyko naruszenia praw
lub wolności osób fizycznych o różnym
prawdopodobieństwie i wadze zagrożenia, bez uszczerbku
dla jakichkolwiek innych standardów bezpieczeństwa
uzgodnionych przez Strony, bezpośrednio lub za pośrednictwem
CRO, każdy Podmiot przetwarzający dane zobowiązany jest
wdrożyć odpowiednie środki techniczne i organizacyjne w celu
ochrony przed nieupoważnionym, bezprawnym lub przypadkowym
Przetwarzaniem, w tym przypadkowym lub bezprawnym zniszczeniem,
utratą, zmianą, nieupoważnionym ujawnieniem lub dostępem do
danych osobowych, przy czym środki te muszą być zawsze
odpowiednie do prawdopodobieństwa i wagi szkody dla
Uczestników Badania, która mogłaby wyniknąć z
nieupoważnionego, bezprawnego lub przypadkowego Przetwarzania,
uwzględniając stan rozwoju technologicznego i koszty wdrożenia
środków. Środki te obejmują, odpowiednio:
|
środki
umożliwiające dostęp do Danych Badawczych wyłącznie
upoważnionemu personelowi do celów Badania;
|
szyfrowanie
Danych Badawczych;
|
zdolność
do ciągłego zapewnienia poufności, integralności,
dostępności i odporności systemów i usług
Przetwarzania;
|
zdolność
do szybkiego przywrócenia dostępności Danych Badawczych
i dostępu do nich w razie incydentu fizycznego lub
technicznego;
|
regularne
testowanie, mierzenie i ocenianie skuteczności środków
technicznych i organizacyjnych mających zapewnić
bezpieczeństwo Przetwarzania Danych Badawczych;
|
środki
służące wykryciu słabych punktów Przetwarzania Danych
Badawczych w systemach wykorzystywanych do świadczenia usług
na rzecz Sponsora;
|
Każdy
Podmiot przetwarzający dane zobowiązany jest wdrożyć
odpowiednie pisemne zasady bezpieczeństwa w zakresie
postępowania z danymi osobowymi, w tym z Danymi Badawczymi.
|
Na
życzenie Sponsora każdy Podmiot przetwarzający dane
zobowiązany jest przedstawić środki podjęte zgodnie z
niniejszym art. IV i umożliwić audyt i sprawdzenie takich
środków. Sponsor ma prawo przeprowadzić audyty biur i
działalności każdego Podmiotu przetwarzającego dane w
zakresie odnoszącym się do Danych Badawczych lub zlecić ich
przeprowadzenie osobie trzeciej, która zawarła umowę o
zachowanie poufności z każdym Podmiotem przetwarzającym dane.
Każdy Podmiot przetwarzający dane będzie współdziałał
przy audytach prowadzonych przez Sponsora lub w ich imieniu i
udzieli audytorom Sponsora odpowiedniego dostępu do biur i
urządzeń wykorzystywanych przy Przetwarzaniu Danych
Badawczych. Każdy Podmiot przetwarzający dane zapewni spółce
Sponsora i/lub audytorom Sponsora dostęp do wszelkich
informacji dotyczących Przetwarzania Danych Badawczych, jakiego
Sponsor może zasadnie zażądać w celu sprawdzenia
przestrzegania przez każdy Podmiot przetwarzający dane
niniejszej Umowy.
|
Udoskonalenia
bezpieczeństwa
|
Strony
potwierdzają, że wymogi bezpieczeństwa nieustannie się
zmieniają i że skuteczne zabezpieczenia wymagają częstych
ocen i regularnego udoskonalania nieaktualnych środków
bezpieczeństwa. Każdy Podmiot przetwarzający dane będzie
zatem na bieżąco prowadzić ocenę wdrożonych środków
zgodnie z art. IV i zaostrzy, uzupełni i udoskonali te środki,
żeby zachować zgodność z wymaganiami przewidzianymi w
art. IV.
|
Przekazywanie
danych
|
Każdy
Podmiot przetwarzający dane niezwłocznie zawiadomi Sponsora o
każdym (planowanym) trwałym lub tymczasowym przekazaniu Danych
Badawczych do kraju spoza Europejskiego Obszaru Gospodarczego
nieposiadającego odpowiedniego stopnia ochrony i wykona takie
(planowane) przekazanie po uzyskaniu zgody Sponsora, której
spółka może odmówić według własnego uznania, i gdy
obowiązuje odpowiednia umowa przekazywania lub inny mechanizm
zapewniające przestrzeganie Prawa w zakresie ochrony danych
(„Porozumienia
z krajami trzecimi”).
|
W
zakresie, w jakim Sponsor lub Podmiot przetwarzający dane
polegają na konkretnym Porozumieniu z krajami trzecimi służącym
normalizacji międzynarodowego przekazywania danych, które
zostanie następnie zmodyfikowane, anulowane, lub uznane przez
sąd właściwy za nieważne, Sponsor i dany Podmiot
przetwarzający dane zobowiązują się współdziałać w
dobrej wierze, żeby niezwłocznie zakończyć przekazywanie lub
zastosują odpowiednie inne Porozumienie z krajami trzecimi, na
którego podstawie można będzie zgodnie z prawem prowadzić
przekazywanie.
|
Obowiązki
informacyjne i zarządzanie incydentami
|
Gdy
Podmiot przetwarzający dane poweźmie informację o Incydencie
(zdefiniowanym poniżej), który ma wpływ na Przetwarzanie
Danych Badawczych, niezwłocznie zawiadomi Sponsora o
Incydencie, będzie zawsze współdziałać ze Sponsorem i
będzie postępować zgodnie z instrukcjami Sponsora w
odniesieniu do Incydentów, żeby umożliwić Sponsorowi
przeprowadzenie dokładnego badania Incydentu, sformułować
prawidłową odpowiedź i podjąć odpowiednie dalsze kroki w
zakresie Incydentu.
|
Termin
„Incydent” zastosowany w art VII.A. należy zawsze rozumieć
jako:
|
nieupoważniony
lub przypadkowy dostęp, Przetwarzanie, usunięcie, utratę lub
jakąkolwiek formę bezprawnego Przetwarzania Danych Badawczych;
|
naruszenie
postanowień dotyczących bezpieczeństwa i (lub) poufności z
art. III i IV niniejszej Umowy, skutkujące przypadkowym lub
bezprawnym zniszczeniem, utratą, zmianą, nieupoważnionym
ujawnieniem lub dostępem do Danych Badawczych, albo wskazanie,
że doszło lub dojdzie do takiego naruszenie;
|
Każdy
Podmiot przetwarzający dane zobowiązany jest niezwłocznie i
jak najszybciej zawiadomić Sponsora o Incydencie, w każdym
razie nie później niż w ciągu 24 godzin od powzięcia o nim
informacji.
|
Zawiadomienia
przekazywane Sponsorowi zgodnie z art. VII muszą zawierać:
|
opis
charakteru Incydentu, w tym w miarę możliwości kategorie i
przybliżoną liczbę osób, których dane dotyczą, oraz
kategorie i przybliżoną liczbę wpisów Danych Badawczych,
których dotyczy naruszenie;
|
imię
i nazwisko oraz dane kontaktowe inspektora ochrony danych
każdego Podmiotu przetwarzającego dane lub innego punktu
kontaktowego, od którego można uzyskać więcej informacji;
|
opis
prawdopodobnych konsekwencji incydentu; oraz
|
opis
środków zastosowanych lub proponowanych przez każdy Podmiot
przetwarzający dane w celu zaradzenia incydentowi, w tym
w stosownych przypadkach środki w celu
zminimalizowania jego ewentualnych negatywnych skutków.
|
Umowy
z podwykonawcami Przetwarzania
|
Żaden
Podmiot przetwarzający dane nie może podzlecać działań
dotyczących Badania, wiążących się z Przetwarzaniem Danych
Badawczych lub wymagających Przetwarzania Danych Badawczych
przez osobę trzecią bez uprzedniej pisemnej zgody Sponsora.
|
Niezależnie
od zgody Sponsora w rozumieniu poprzedniego ustępu, dany
Podmiot przetwarzający dane zachowuje pełną odpowiedzialność
wobec Sponsora za działanie podwykonawcy Przetwarzania z
naruszeniem spoczywających na nim obowiązków w zakresie
ochrony danych.
|
Podmiot
przetwarzający dane nie może włączyć podwykonawców
Przetwarzania z kraju spoza Europejskiego Obszaru Gospodarczego
bez uprzedniej pisemnej zgody Sponsora i pod warunkiem, że
zawsze obowiązują odpowiednie Porozumienia z krajami trzecimi.
|
Każdy
Podmiot przetwarzający dane zadba, żeby podwykonawca
Przetwarzania był związany tymi samymi obowiązkami w zakresie
ochrony danych co Podmiot przetwarzający dane w ramach
niniejszej Umowy, będzie nadzorować ich przestrzeganie i jest
w szczególności zobowiązany nałożyć na podwykonawców
Przetwarzania obowiązek wdrożenia odpowiednich środków
technicznych i organizacyjnych w taki sposób, żeby
Przetwarzanie odpowiadało wymaganiom Prawa w zakresie ochrony
danych.
|
Zwrot
lub zniszczenie Danych Badawczych
|
Po
ustaniu niniejszej Umowy, na pisemny wniosek Sponsora lub po
wypełnieniu wszystkich celów uzgodnionych w kontekście
Badania, zgodnie z którym nie ma już potrzeby dalszego
Przetwarzania, każdy Podmiot przetwarzający dane zwróci
wszystkie Dane Badawcze Sponsorowi zgodnie z Umową Główną, o
ile obowiązujące przepisy lub regulacje nie wymagają
przechowywania danych osobowych. Powyższe nie dotyczy danych
Przetwarzanych przez Instytucję i Badacza na cele świadczenia
opieki medycznej przez Instytucję na rzecz Uczestników
Badania.
|
Każdy
Podmiot przetwarzający dane zawiadomi wszystkie osoby trzecie
prowadzące własne Przetwarzanie Danych Badawczych o ustaniu
Umowy i zadba, żeby wszystkie te osoby trzecie zwróciły Xxxx
Xxxxxxxx Sponsorowi, o ile obowiązujące przepisy lub regulacje
nie wymagają przechowywania danych osobowych.
|
Pomoc
|
Każdy
Podmiot przetwarzający dane w miarę możliwości wdraża
odpowiednie środki techniczne i organizacyjne w celu
wywiązania się z ciążącym na Sponsorze obowiązku
odpowiadania na żądania osoby, której dane dotyczą,
w zakresie wykonywania jej praw w ramach RODO.
|
Każdy
Podmiot przetwarzający dane pomaga Sponsorowi w zagwarantowaniu
zgodności z obowiązkami wynikającymi z art. IV
(Bezpieczeństwo) i w przeprowadzenie DPIA zgodnie z art. 35
RODO oraz w uprzednich konsultacjach z organami nadzoru,
wymaganymi na mocy art. 36 RODO, uwzględniając charakter
Przetwarzania i informacje dostępne każdemu Podmiotowi
przetwarzającemu dane.
|
Każdy
Podmiot przetwarzający udostępnia Sponsorowi wszelkie
informacje niezbędne do wykazania spełnienia obowiązków
każdego Podmiotu przetwarzającego dane oraz umożliwia
Sponsorowi lub upoważnionemu przez niego audytorowi
przeprowadzanie audytów, w tym inspekcji, i przyczynia się do
nich.
|
Każdy
Podmiot przetwarzający dane udzieli odpowiedniej pomocy
Sponsorowi w spełnieniu obowiązków Sponsora wynikających z
Prawa w zakresie ochrony danych w odniesieniu do bezpieczeństwa,
zgłaszania naruszeń, ocen skutków dla ochrony danych oraz
konsultacji z organami nadzoru lub regulatorami,
uwzględniając charakter Przetwarzania i informacje dostępne
każdemu Podmiotowi przetwarzającemu dane, oraz zawiadomi
Sponsora, jeśli którykolwiek z nich lub którykolwiek z
podwykonawców Przetwarzania otrzyma żądanie osoby, której
dane dotyczą, w ramach Prawa w zakresie ochrony danych
dotyczące Danych Badawczych.
|
Każdy
Podmiot przetwarzający dane udostępni Sponsorowi wszystkie
informacje niezbędne do wykazania zgodności z art. 28 RODO.
|
Każdy
Podmiot przetwarzający dane niezwłocznie zawiadomi Sponsora,
jeśli, jego zdaniem, instrukcja Sponsora narusza jakiekolwiek
Prawa w zakresie ochrony danych lub jeśli Podmiot
przetwarzający dane podlega wymogom prawnym, które
skutkowałyby tym, że przestrzeganie przez niego instrukcji
Sponsora lub Prawa w zakresie ochrony danych byłoby bezprawne
lub w inny sposób niemożliwe.
|
Badacz
prowadzi ewidencję wykonywanego Przetwarzania, dba, żeby
ewidencja ta była dokładna i niezwłocznie udostępnią ją
Sponsorowi na uzasadniony wniosek Sponsora.
|
Okres
obowiązywania i rozwiązanie Umowy
|
Niniejsza
Umowa wchodzi w życie po jej podpisaniu przez ostatnią
wskazaną stronę i obowiązuje przez cały okres Przetwarzania
wskazany w Dodatkowych
informacjach o Przetwarzaniu.
|
Zobowiązania
przewidziane w niniejszej Umowie, które mają pozostać w mocy,
pozostają w mocy po ustaniu lub wygaśnięciu niniejszej Umowy
z dowolnej przyczyny. Ustanie lub wygaśnięcie niniejszej
Umowy w szczególności nie zwalnia Podmiotu przetwarzającego
dane z zobowiązania do przestrzegania poufności przewidzianego
w art. III.
|
Postanowienia
różne
|
W
razie niezgodności postanowień niniejszej Umowy z
postanowieniami Umowy Głównej , charakter nadrzędny mają
postanowienia niniejszej Umowy.
|
Niniejsza
Umowa będzie podlegać przepisom prawa polskiego
i zgodnie z nimi będzie interpretowana. Wszelkie spory
wynikające z niniejszej Umowy będą rozstrzygane przez sądy w
Polsce
właściwe
z uwagi na siedzibę Sponsora.
|