Umowa powierzenia/ przetwarzania danych osobowych
Załącznik do Warunków Konkursu ofert
Umowa powierzenia/ przetwarzania danych osobowych
zawarta w Myszkowie dnia 2019r. pomiędzy:
Samodzielnym Publicznym Zespołem Opieki Zdrowotnej w Myszkowie, ul. Xxxxx Xxxxxxxxx 29, 42-300 Myszków, zwanym w dalej „Administratorem danych",
reprezentowanym przez ……………………. - …………………
a
……………………………………………………………………………………………………………
…………………………………………………………………………………………………………… zwanym dalej „Podmiotem przetwarzającym”
Użyte w niniejszej umowie pojęcia oznaczają:
§ 1
Definicje
1. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
§ 2
Powierzenie przetwarzania danych osobowych
1. Samodzielny Publiczny Zespół Opieki Zdrowotnej w Myszkowie oświadcza, że jest Administratorem danych w rozumieniu art. 4 pkt 7 RODO w zakresie danych osobowych powierzonych do przetwarzania, a określonych w §3 ust.1 niniejszej umowy.
2. Administrator danych wyznaczył do nadzoru nad realizacją niniejszej umowy Inspektora ochrony danych Pana Xxxxxxx Xxxxxxxxxxxx, z którym można kontaktować kierując korespondencję na adres administratora danych z dopiskiem „dane osobowe” lub bezpośrednio przesyłając informacje na adres e-mail: xxx@xxxxxxxxxx.xx oraz telefonicznie pod numerem 888 411 911.
3. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą umową wyłącznie na udokumentowane polecenie administratora oraz krajowymi i unijnymi przepisami praw powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą. Dotyczy to także przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu procesor podlega.
4. Jeśli obowiązek takiego działania nakłada na podmiot przetwarzający prawo Unii lub prawo państwa członkowskiego, przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym na piśmie, chyba że prawo zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
5. Podmiot przetwarzający oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi krajowego i unijnego prawa powszechnie obowiązującego.
§3
Zakres i cel przetwarzania danych
1. Podmiot przetwarzający będzie przetwarzał, powierzone dane osobowe w formie tradycyjnej oraz elektronicznej w zakresie i celu wynikającym z umowy/porozumienia z dnia 2019r.
2. Podmiot przetwarzający będzie przetwarzał następujące kategorie powierzonych danych osobowych:
a) Np. Dane osobowe Pacjentów
▪ Imię i nazwisko (imiona)
▪ Data urodzenia
▪ Oznaczenie płci
▪ Adres i miejsce zamieszkania/oddział szpitalny
▪ Nr PESEL jeżeli został nadany, a w przypadku noworodka PESEL matki, a w przypadku osób które nie mają nadanego numeru PESEL seria i numer dokumentu tożsamości
▪ Informacje o stanie zdrowia
▪ Rodzaj udzielonych świadczeń medycznych
▪ Jednostka chorobowa
▪ Itd.……..
b) Np. Dane osobowe personelu administratora
▪ Dane osobowe lekarzy
▪ Dane osobowe pielęgniarek
▪ Itd……….
c) Np. dane pracowników administratora
▪ Imię i nazwisko (imiona)
▪ Data urodzenia
▪ Itd…….
3. Podmiot przetwarzający będzie przetwarzał powierzone dane w celu (np. przechowywania, opracowywania, zbieranie, utrwalania, idt……) w związku z realizacją (np. porozumienia/umowy nr…./przedmiotu zamówienia określonego w § ……… umowy z dnia 2019r). w zakresie
(wskazać zakres lub odnieść się umowy).
§ 4
Obowiązki podmiotu przetwarzającego
1. Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, wymaganych krajowymi i unijnymi przepisami prawa powszechnie obowiązującego zgodnie z art. 32 RODO.
2. Podmiot przetwarzający zapewnia, że wszystkie osoby upoważnione przez niego do przetwarzania danych osobowych zobowiązały się do zachowania w tajemnicy tych danych oraz sposobów ich zabezpieczania z zarówno w trakcie trwania umowy jak i po jej zakończeniu.
3. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych,
4. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
5. Administrator poinformuje procesora o podjętej decyzji dotyczącej usunięcia lub zwrócenia danych w formie pisemnej, w terminie ………………dni przed planowanym terminem zakończenia świadczenia usług związanych z przetwarzaniem.
6. W przypadku zaistnienia okoliczności stanowiących podstawę do wypowiedzenia przez administratora niniejszej umowy ze skutkiem natychmiastowym administrator poinformuje podmiot przetwarzający o podjętej decyzji dotyczącej usunięcia lub zwrócenia danych wraz z dokonaniem wypowiedzenia umowy.
7. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z innych obowiązków określonych krajowymi i unijnymi przepisami prawa powszechnie obowiązującego w art. 32-36 RODO.
8. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi w ciągu 24 godzin od chwili wykrycia incydentu zgodnie z art. 33 RODO.
9. Zgłoszenie, o którym mowa w ust. 7 zawiera co najmniej:
a) charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
§ 5
Prawo kontroli
1. Administrator danych ma prawo kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy.
2. Administrator danych realizować będzie prawo kontroli w godzinach pracy Podmiotu przetwarzającego i z minimum 7 dniowym jego uprzedzeniem.
3. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora danych nie dłuższym niż 7 dni.
4. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków wynikających z Umowy oraz krajowych i unijnych przepisów prawa powszechnie obowiązującego.
§ 6
Dalsze powierzenie danych do przetwarzania
1. Administrator danych nie wyraża zgody na dalsze powierzenie danych osobowych w celu świadczenia usług objętych umową/porozumieniem z dnia 2019r.
§ 7
Odpowiedzialność Podmiotu przetwarzającego
1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
2. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych danych osobowych w szczególności prowadzonych przez inspektorów upoważnionych przez organ nadzoru.
3. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora danych.
§ 8
Czas obowiązywania umowy
1. Niniejsza umowa obowiązuje od dnia jej zawarcia przez czas nieokreślony.
2. Każda ze stron może wypowiedzieć niniejszą umowę z zachowaniem miesięcznego okresu wypowiedzenia.
§ 9
Rozwiązanie umowy
1. Administrator danych może rozwiązać niniejszą umowę ze skutkiem natychmiastowym, gdy Podmiot przetwarzający:
a) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie;
b) przetwarza dane osobowe w sposób niezgodny z umową;
c) w przypadku stwierdzenia przez administratora braku stosowania środków określonych w § 4 niniejszej umowy lub nienależytego ich spełnienia przed przekazaniem lub po
przekazaniu danych do przetwarzania stanowi podstawę do wypowiedzenia przez administratora niniejszej umowy ze skutkiem natychmiastowym.
§ 10
Zasady zachowania poufności
1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, które uzyskał w związku z realizacją umowy, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora danych i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
§ 11
Postanowienia końcowe
1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach dla każdej ze stron.
2. W sprawach nieuregulowanych zastosowanie będą miały właściwe przepisy prawa polskiego oraz powszechnie obowiązujące przepisy prawa unijnego.
3. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej umowy będzie sąd właściwy dla Administratora danych
4. Umowa wchodzi w życie z dniem podpisania.
……………………..…………… ……………………………….
Administrator danych Podmiot przetwarzający