UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
po zmianie treści Załącznik nr 9 do SWZ, PN –190/22/DW Załącznik nr ….. do Umowy nr /2022
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w dniu …… - …-2022 roku w Warszawie pomiędzy:
Narodowym Instytutem Onkologii im. Xxxxx Xxxxxxxxxxxx – Curie - Państwowym Instytutem Badawczym z siedzibą w Warszawie, adres: 00-000 Xxxxxxxx, xx. W. K. Xxxxxxxxx 0, wpisanym do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla x.xx. Warszawy, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS 0000144803, NIP 000- 000-00-00, Regon 000288366, zwanym dalej „Administratorem”, w imieniu którego działa, należycie umocowany:
……………………………………………………………………………………………………………………………………………………
a
(w przypadku przedsiębiorcy wpisanego do KRS)*
Spółką ....................., z siedzibą w .................. przy ulicy ....................., wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy...........................
w ................., ............ Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS:
................, NIP ......................, Regon ..............., kapitał zakładowy ;
(w przypadku przedsiębiorcy wpisanego do Centralnej Ewidencji i Informacji o Działalności Gospodarczej)*
Panią/Panem ................ zam. ................, ul. ............... prowadzącą/prowadzącym działalność gospodarczą na podstawie wpisu do Centralnej Ewidencji i Informacji o Działalności Gospodarczej pod firmą .................., adres prowadzenia działalności....................., ul. ........., NIP:................, Regon
............, reprezentowaną/reprezentowanym przez: ............................ (na mocy )
(w przypadku spółki cywilnej)*
Panią/Panem ............... zam. ...................., ul. ..............., prowadzącą/prowadzącym działalność gospodarczą na podstawie wpisu do Centralnej Ewidencji i Informacji o Działalności Gospodarczej pod firmą ...............,adres prowadzenia działalności....................., ul. ........., NIP: ..............., Regon
..............., reprezentowaną/reprezentowanym przez: ........................... (na mocy )
Panią/Panem .................. zam. ...................., ul. ............, prowadzącą/prowadzącym działalność gospodarczą na podstawie wpisu do Centralnej Ewidencji i Informacji o Działalności Gospodarczej pod firmą ...............,adres prowadzenia działalności....................., ul. ........., NIP .................., Regon
............., reprezentowaną/reprezentowanym przez: ............................ (na mocy ),
wspólnikami spółki cywilnej ............, adres: ............, NIP: ..........., Regon:...........................
zwaną/zwanym dalej „ Przetwarzającym”, w imieniu którego działa należycie umocowany:
……………………………………………………………………………………………………………………………………………………
* wybrać właściwe
Mając na uwadze, że:
• Strony zawarły umowę nr („Umowa Podstawowa”), dotyczącą usług związanych
z systemami wykorzystywanymi przez Powierzającego przy prowadzeniu jego statutowej działalności, co obejmuje w szczególności udzielanie świadczeń leczniczych w związku, z wykonywaniem której konieczne jest powierzenie Przetwarzającemu przetwarzania danych osobowych w zakresie określonym niniejszą umową;
• Celem niniejszej umowy (dalej „Umowa”) jest ustalenie warunków, na jakich Przetwarzający wykonuje operacje przetwarzania Danych Osobowych w imieniu i na zlecenie Administratora;
• Strony zawierają Umowę dążą do takiego uregulowania zasad przetwarzania Danych Osobowych, aby odpowiadały one w pełni postanowieniom rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1) – dalej „RODO”.
Xxxxxx postanowiły zawrzeć niniejszą umowę, o następującej treści:
1. Przedmiot Umowy
1.1 Na podstawie Umowy, Powierzający powierza Przetwarzającemu przetwarzanie dalej opisanych Danych Osobowych na warunkach określonych Umową i Umową Podstawową. Umowa stanowi umowę powierzenia przetwarzania danych osobowych, o której mowa w art. 28 ust. 3 RODO.
1.2 Powierzenie przetwarzania Danych Osobowych następuje w celu umożliwienia wykonywania przez Przetwarzającego usług dotyczących wsparcia i serwisu systemów informatycznych (dalej
„Systemy”), będących przedmiotem Umowy Podstawowej. Pod pojęciem Systemów należy rozumieć systemy informatyczne, których dostawcą jest Przetwarzający, jak również systemy i oprogramowanie podmiotów trzecich współpracujące z systemami Przetwarzającego, a także systemy i oprogramowanie, do których Przetwarzający musi uzyskać dostęp w celu prawidłowej realizacji Umowy podstawowej.
1.3 W ramach Umowy przetwarzane będą dane osobowe gromadzone w Systemach (dalej „Dane Osobowe”), co obejmuje w szczególności następujące rodzaje danych:
I. Dane zwykłe:
(1) imię i nazwisko,
(2) pseudonim,
(3) data urodzenia,
(4) imiona rodziców,
(5) płeć,
(6) numer PESEL,
(7) adresy zamieszkania/adres zameldowania,
(8) adresy e-mail,
(9) numery telefonów,
(10) seria i numer dokumentu tożsamości,
(11) numery praw do wykonywania zawodu lekarza i pielęgniarki,
II. Dane wrażliwe:
(1) dane dotyczące zdrowia w rozumieniu art. 4 pkt 15 RODO w tym, informacje gromadzone w dokumentacji medycznej, informacje o stanie zdrowia, diagnozy, stosowane leczenie, opisy i wyniki badań (co obejmuje także zapisane w postaci cyfrowej filmy, badania obrazowe itp.),
(2) informacje o niepełnosprawnościach,
1.4 W ramach Umowy przetwarzane będą Dane Osobowe, gromadzone w Systemach, dotyczące w szczególności następujących kategorii osób:
(1) pracownicy Powierzającego,
(2) kontrahenci Powierzającego, w tym osoby angażowane przez Powierzającego na podstawie umów cywilnoprawnych (np. umowy zlecenia, umowy o dzieło, umowy świadczenia usług),
(3) pacjentów Powierzającego oraz ich opiekunów lub przedstawicieli ustawowych,
(4) osób upoważnionych do uzyskiwania informacji o stanie zdrowia pacjenta,
(5) osób uzyskujących dostęp do dokumentacji medycznej,
(6) inni użytkownicy Systemów.
2. Okres obowiązywania Umowy
2.1 Z zastrzeżeniem pkt 10.3, Xxxxx zostaje zawarta na czas określony tj. od dnia zawarcia Umowy do:
a) dnia zawarcia przez Powierzającego kolejnej umowy dotyczącej wsparcia serwisowego Systemów, następującej po Umowie Podstawowej albo
b) do upływu trzech miesięcy po ustaniu Umowy Podstawowej
w zależności od tego, które ze zdarzeń wymienionych w pkt a)-b) powyżej nastąpi najpierw.
3. Obowiązki Przetwarzającego
3.1 Oprócz zgodności z regułami podanymi w Umowie, Przetwarzający zapewni zgodność z wymaganiami, o których jest mowa w Artykułach od 28 do 33 RODO. Przetwarzający w szczególności oświadcza, że wdrożył środki techniczne oraz organizacyjne, które są niezbędne do wykonania Umowy zgodnie z art. 32 RODO. Środki techniczne i organizacyjne, o których mowa w zdaniu poprzedzającym będą w szczególności zgodne z Artykułem 28 ust. 3 lit. c) oraz z art. 32 RODO w związku z Artykułem 5 ust. 1-2 RODO. Środki te związane są z bezpieczeństwem danych oraz i gwarantują poziom ochrony odpowiedni do ryzyka w zakresie poufności, integralności, dostępności oraz odporności Systemów, z uwzględnieniem poziomu techniki, kosztów wdrażania, charakteru, zakresu oraz celów przetwarzania a także prawdopodobieństwa wystąpienia oraz skali ryzyka dla praw oraz swobód osób fizycznych w rozumieniu Artykułu 32 Paragraf 1 RODO (co opisano w Załączniku nr 1 do Umowy). Środki techniczne oraz organizacyjne są przedmiotem postępu technicznego oraz dalszego rozwoju, wobec czego Przetwarzający może wdrażać adekwatne środki alternatywne. Jednakże w takim wypadku nie może mieć miejsca obniżenie poziomu bezpieczeństwa określonych środków.
3.2 Przetwarzający informuje, iż powołał Inspektora Ochrony Danych Osobowych:
………………………………………………………………………………
Aktualne dane Inspektora Ochrony Danych Osobowych są dostępne na stronie internetowej Przetwarzającego.
3.3 Przetwarzający będzie prowadzić okresowe monitorowanie procesów wewnętrznych i Środków Technicznych oraz Organizacyjnych w celu zapewnienia aby przetwarzanie danych w jego obszarze odpowiedzialności było zgodne z wymagania obowiązującego prawa w zakresie ochrony danych oraz ochrony praw Podmiotu Danych (osoby, której dotyczą dane).
3.4 Przetwarzający w ramach Umowy przetwarza Dane Osobowe wyłącznie na podstawie udokumentowanych poleceń lub instrukcji Powierzającego. Udokumentowanym poleceniem jest w szczególności zapotrzebowanie na wykonanie usług zgłaszane w ramach Umowy Podstawowej, co dotyczy w szczególności zgłoszeń w udostępnianych przez Przetwarzającego systemach obsługi zgłoszeń oraz zgłoszeń dokonywanych telefonicznie, a także zgłoszeń przesyłanych przez automatyczne systemy monitorujące.
3.5 Przetwarzanie Danych Osobowych w ramach Umowy zostanie powierzone przez Przetwarzającego tylko takim jego pracownikom, którzy zostaną zobowiązani do zachowania poufności oraz którzy uprzednio zostali zapoznani z postanowieniami w zakresie ochrony danych związanych z ich pracą. Przetwarzający oraz każda osoba działająca z upoważnienia Przetwarzającego, która będzie posiadać dostęp do Danych Osobowych nie będzie przetwarzać tych Danych bez polecenia Powierzającego, chyba że wymagają tego obowiązujące przepisy prawa.
3.6 Przetwarzanie Danych Osobowych nie będzie realizowane poza terenem Unii Europejskiej (UE) lub Kraju Członkowskiego Europejskiej Wspólnoty Gospodarczej.
3.7 W trakcie wykonywania Umowy Przetwarzający będzie współpracować z organem nadzoru na wniosek tego organu. Przetwarzający będzie informował Powierzającego o wszelkich kontrolach oraz środkach podejmowanych przez organ nadzoru jeżeli mają one związek z Umową.
3.8 Jeżeli Powierzający jest przedmiotem kontroli prowadzonej przez organ nadzoru, postępowania administracyjnego lub karnego z powodu przestępstwa lub wykroczenia, roszczenia wniesionego przez osobę, której dotyczą Dane Osobowe lub przez stronę trzecią w związku z przetwarzaniem Danych Osobowych przez Powierzającego, Przetwarzający dołoży wszelkich starań w celu wsparcia Powierzającego.
4. Poufność
4.1. Przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
4.2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
4.3. Treść Załącznika nr 1 do Umowy objęta jest tajemnicą przedsiębiorstwa Przetwarzającego i nie może być udostępniana podmiotom trzecim, z wyłączeniem uprawnionych organów władzy publicznej.
5. Korekta, ograniczanie oraz usuwanie danych
5.1 Przetwarzający może usuwać lub ograniczać przetwarzanie Danych Osobowych jedynie na podstawie udokumentowanych poleceń od Powierzającego.
5.2 Jeżeli Podmiot Danych (osoba, której dotyczą dane) skontaktuje się bezpośrednio z Przetwarzającym w związku z korektą, usunięciem lub ograniczeniem przetwarzania, Przetwarzający natychmiast przekaże Powierzającemu wniosek tego Podmiotu Danych.
6. Dalsze powierzenie przetwarzania Danych Osobowych
6.1 Przetwarzający może powierzyć przetwarzanie Danych Osobowych innym podmiotom przetwarzającym, co w szczególności dotyczy podwykonawców Przetwarzającego, angażowanych przez niego przy realizacji Umowy Podstawowej.
6.2 Pod warunkiem zawarcia stosownego porozumienia umownego, zgodnego z art. 28 ust. 2-4 RODO, Powierzający wyraża zgodę na powierzenie przetwarzania Danych Osobowych następującym podmiotom:
Nazwa podmiotu | Adres /kraj | Rodzaj wykonywanych czynności |
6.3 Przetwarzający może powierzyć przetwarzanie Danych Osobowych innym podmiotom lub dokonać zmiany podmiotów wymienionych w ust. 6.2 pod warunkiem uzyskania zgody Powierzającego. Zmiany, o których mowa w zdaniu poprzedzającym nie wymagają sporządzania dodatkowego aneksu do Umowy.
6.4 Przystąpienie do przetwarzania danych przez podmioty, o których mowa w ust. 6.1-6.3 może nastąpić po zapewnieniu przez te podmioty zgodności z wszystkimi wymaganiami Umowy, odnoszącymi się do Przetwarzającego.
6.5 Powierzenie przetwarzania Danych Osobowych innym podmiotom nie zmniejsza zakresu odpowiedzialności Przetwarzającego wynikającego w Umowy.
7. Uprawnienia Powierzającego w zakresie nadzoru
7.1 Przetwarzający zapewni Powierzającemu możliwość weryfikacji zgodności ze zobowiązaniami Przetwarzającego wynikających z art. 28 RODO.
7.2 Powierzający ma prawo do przeprowadzania kontroli albo do powierzania ich wykonywania przez audytora, który zostanie wyznaczony indywidualnie w każdym wypadku. Przetwarzający zobowiązuje się, że dostarczy Powierzającemu, na jego żądanie niezbędnych informacji, a w szczególności dotyczących środków technicznych i organizacyjnych stosowanych przy przetwarzaniu Danych Osobowych.
7.3 Powierzający będzie realizował prawo kontroli w dni robocze, w godzinach pracy Przetwarzającego z co najmniej 14-dniowym wyprzedzeniem. Za dni robocze Xxxxxx uważać będą dni od poniedziałku do piątku, z wyjątkiem dni ustawowo wolnych od pracy na terytorium Rzeczypospolitej Polskiej.
7.4 Przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli, w terminie wskazanym przez Powierzającego, który nie może jednak być krótszy niż 5 dni.
8. Komunikacja w przypadku naruszeń zasad przetwarzania Danych Osobowych
8.1 Przetwarzający powinien wspierać Powierzającego w zachowaniu zgodności ze zobowiązaniami w zakresie bezpieczeństwa danych osobowych, wymaganiami odnośnie zgłaszania naruszeń danych, oceny skutków dla ochrony danych. Zakres ten obejmuje:
a) zapewnienie odpowiedniego poziomu ochrony przez zastosowanie środków technicznych oraz organizacyjnych z uwzględnieniem okoliczności oraz celów przetwarzania, a także projektowanego prawdopodobieństwa oraz skali ewentualnego naruszenia;
b) obowiązek natychmiastowego zgłaszania Powierzającemu naruszeń zasad przetwarzania Danych Osobowych;
c) wspieranie Powierzającego w odniesieniu do obowiązków związanych z informowaniem zainteresowanego Podmiotu Danych (osoby, której dotyczą dane) oraz dostarczanie Powierzającemu wszystkich posiadanych informacji na ten temat;
d) wspieranie Powierzającego w zakresie oceny skutków dla ochrony jego danych.
8.2 Powiadomienie o naruszeniu zasad przetwarzania danych może nastąpić drogą elektroniczną lub za pomocą środków porozumiewania się na odległość.
9. Prawo Powierzającego do wydawania poleceń
9.1 Polecenia wydane ustnie zostaną natychmiast potwierdzone przez Powierzającego minimum w formie wiadomości przesłanej pocztą elektroniczną.
9.2 Przetwarzający niezwłocznie będzie informował Powierzającego w przypadku stwierdzenia, że dane polecenie narusza przepisy prawa w zakresie ochrony danych. W takim wypadku Przetwarzający ma prawo zawiesić wykonanie odnośnych poleceń do czasu ich potwierdzenia albo zmiany przez Powierzającego.
10. Kasowanie oraz zwrot danych osobowych
10.1Przetwarzający nie będzie tworzył kopii Danych Osobowych bez wiedzy Powierzającego za wyjątkiem kopii zapasowych w zakresie koniecznym w celu zapewnienia właściwego przetwarzania danych.
10.2Po wygaśnięciu Umowy Przetwarzający przekaże Powierzającemu albo – za uprzednią zgodą Powierzającego – zniszczy wszystkie dokumenty, wyniki przetwarzania oraz wykorzystania oraz zbiory danych związane z Umową, które znalazły się w jego posiadaniu, w sposób zgodny z ochroną danych. Protokół zniszczenia lub usunięcia należy dostarczyć na żądanie Powierzającego.
10.3Przetwarzający po wygaśnięciu Umowy może zachować kopię Danych Osobowych przetwarzanych w systemach Przetwarzającego (w szczególności w systemie obsługi zgłoszeń serwisowych) i dotyczących realizacji Umowy Podstawowej w celu wypełnienia obowiązków ustawowych związanych z archiwizacją i przechowywaniem dokumentów. Kopia Danych, o których mowa w zdaniu poprzedzającym może być przechowywana do upływu okresu przedawnienia roszczeń i zobowiązań wynikających z Umowy Podstawowej, co dotyczy także zobowiązań podatkowych.
10.4Uprawnienie, o którym mowa w ust. 10.3 nie obejmuje prawa do tworzenia kopii baz danych Powierzającego.
11. Odpowiedzialność
11.1 Przetwarzający odpowiada za szkody spowodowane swoim działaniem w związku z niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na Przetwarzającego lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom. Przetwarzający odpowiada za szkody spowodowane niezastosowaniem właściwych środków bezpieczeństwa.
11.2 Jeżeli Podprzetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora i osób trzecich za wypełnienie obowiązków przez Podprzetwarzającego spoczywa na Przetwarzającym.
12. Postanowienia końcowe
12.1 Zmiany Umowy muszą być dokonywane piśmie pod rygorem nieważności.
12.2 Jeżeli poszczególne postanowienia Umowy staną się nieskuteczne albo niewykonalne po jej podpisaniu, nie będzie to miało wpływu na ważność pozostałych postanowień Umowy.
12.3 Postanowienie nieskuteczne albo niewykonalne należy zastąpić postanowieniem skutecznym oraz wykonalnym, najbardziej zbliżonym do celu ekonomicznego, do którego dążyły strony Umowy w ramach postanowienia nieważnego lub niewykonalnego.
12.4 Umowa wchodzi w życie z dniem zawarcia i zastępuje wszystkie istniejące porozumienia Stron w zakresie powierzenia i zasad przetwarzania Danych Osobowych.
12.5 Sądem właściwym dla rozpatrzenia sporów wynikających z Umowy będzie sąd właściwy Powierzającego.
12.6 Umowa została sporządzona w trzech jednobrzmiących egzemplarzach: dwa egzemplarze dla Powierzającego, jeden egzemplarz dla Przetwarzającego.