UMOWA Powierzenia Przetwarzania Danych Osobowych

załącznik nr 8 do umowy

nr ......................... z dnia .......................


UMOWA

Powierzenia Przetwarzania Danych Osobowych


zawarta w dniu ___________ 2018 roku w Warszawie pomiędzy


Samodzielnym Zespołem Publicznych Zakładów Lecznictwa Otwartego Warszawa-Mokotów z siedzibą w Warszawie, xx. Xxxxxxxxxxxxx 00, 00-000 Xxxxxxxx, wpisanym do rejestru stowarzyszeń, innych organizacji społecznych i zawodowych, fundacji oraz samodzielnych publicznych zakładów opieki zdrowotnej prowadzonego przez Sąd Rejonowy dla x.xx. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS 0000126423, NIP: 000-00-00-000, REGON: 000985823 reprezentowanym przez: Dyrektora –­­­­­­­­­­­­­­­­­_______________,

zwanym dalej zgodnie z umową podstawową: „Udzielającym zamówienia”


a:


________________________ z siedzibą w ___________, ul. ________, _______, zarejestrowanym w rejestrze przedsiębiorców prowadzonym przez Sąd Rejonowy w ____, ______ Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS __________, REGON: _____, NIP: ___________, o kapitale zakładowym w wysokości _____________ zł opłaconym w całości, reprezentowanym przez: ___________________________________________,


zwanym dalej „zgodnie z umową podstawową: „Przyjmującym zamówienie”.

zwanymi także dalej wspólnie „Stronami” lub każda z osobna „Stroną”,


Definicje


  1. Administrator - organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych, którym w zakresie danych osobowych obejmujących imię i nazwisko jest Miasto Stołeczne Warszawa, a w zakresie pozostałych danych powierzonych do przetwarzania Udzielający zamówienia .

  2. Przetwarzanie - oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie

  3. Rozporządzenie - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

  4. Naruszenie ochrony danych osobowych - naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

  5. Dane dotyczące zdrowia - dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej - w tym o korzystaniu z usług opieki zdrowotnej - ujawniające informacje o stanie jej zdrowia

  6. Organ Nadzorczy – niezależny organ publiczny ustanowiony przez państwo członkowskie w celu ochrony podstawowych praw i wolności osób fizycznych w - związku z przetwarzaniem.

  7. Umowa podstawowa – umowa zawarta pomiędzy Udzielającym zamówienia a Przyjmującym zamówienie, przedmiotem, której jest wykonywanie usług dotyczącej realizacji programu zdrowotnego pn. „Program profilaktyczny wczesnego wykrywania wad wzroku i zeza dla uczniów klas II szkół podstawowych na terenie x.xx. Warszawy”, z realizacją której związane jest dokonywanie operacji na danych osobowych i której załącznikiem jest niniejsza umowa powierzenia przetwarzania danych osobowych.




Preambuła


Zważywszy, że:

  1. Udzielającemu zamówienia umową z dnia 4 lipca 2018 roku Miasto Stołeczne Warszawa zleciło realizację programu zdrowotnego pn. „Program profilaktyczny wczesnego wykrywania wad wzroku i zeza dla uczniów klas II szkół podstawowych na terenie x.xx. Warszawy”, z którym związane jest dokonywanie operacji na danych osobowych powierzonych do przetwarzania Udzielającemu zamówienie

  2. W umowie wskazanej w pkt. 1 Miasto Stołeczne Warszawa zezwoliło na powierzenie danych osobowych do dalszego przetwarzania podwykonawcom w celu wykonania umowy po uzyskaniu pisemnej zgody

  3. Udzielający zamówienia, w zakresie obejmującym dane osobowe gromadzone w toku realizacji programu inne niż powierzone, występuje jako Administrator przetwarzanych danych uprawniony do ich powierzenia podwykonawcy, tj. Przyjmującemu zamówienie

Strony postanawiają zawrzeć niniejszą Umowę powierzenia przetwarzania danych osobowych (dalej „Umowa”) celem ustalenia warunków, na jakich Przyjmujący zamówienie będzie wykonywał operacje przetwarzania danych osobowych.


Strony zawierając Umowę dążą do takiego uregulowania zasad przetwarzania danych osobowych, aby odpowiadały one w pełni postanowieniom Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).


§ 1

Przedmiot Umowy


  1. W związku z wykonywaniem Umowy podstawowej, Udzielający zamówienia powierza dane osobowe Przyjmującemu zamówienie do przetwarzania, Przyjmujący zamówienie zaś przyjmuje dane osobowe i zobowiązuje się do ich przetwarzania zgodnego z prawem i Umową.

  2. Przyjmujący zamówienie może przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w Umowie, oraz zgodnie z innymi udokumentowanymi poleceniami Udzielającego zamówienia, przy czym za takie udokumentowane polecenia uważa się postanowienia Umowy oraz ewentualne inne polecenia przekazywane przez Udzielającego zamówienia drogą elektroniczną lub na piśmie.


§ 2

Cel, charakter i zakres przetwarzania


  1. Celem powierzenia danych przez Udzielający zamówienia do przetwarzania Przyjmującemu zamówienie jest realizacja Umowy podstawowej dotyczącej realizacji programu zdrowotnego pn „Program profilaktyczny wczesnego wykrywania wad wzroku i zeza dla uczniów klas II szkół podstawowych na terenie x.xx. Warszawy” w ramach podwykonawstwa.

  2. Przyjmujący zamówienie jest uprawniony do wykonywania na powierzonych do przetwarzania danych osobowych, operacji przetwarzania uzasadnionych i niezbędnych dla realizacji zobowiązań będących przedmiotem Umowy podstawowej, w związku z którą dochodzi do przetwarzania. Przyjmujący zamówienie zapewnia o działaniu w zgodzie z Rozporządzeniem, przepisami prawa oraz w zakresie niezbędnym do realizacji Umowy podstawowej.

  3. Dane osobowe będą przez Przyjmującego zamówienie przetwarzane w formie papierowej.

  4. Przyjmujący zamówienie zobowiązuje się do przetwarzania danych osobowych następujących kategorii osób, których dane dotyczą:

  • dane osobowe uczestnika programu (małoletniego - pacjenta)

  • dane osobowe przedstawiciela ustawowego uczestnika programu (małoletniego – pacjenta)

  1. Przyjmujący zamówienie może przetwarzać następujący rodzaj danych osobowych:

  • co do danych osobowych uczestnika programu (małoletniego - pacjenta) - (dane osobowe tzw. zwykłe i szczególnej kategorii): imię, nazwisko, PESEL, dane dotyczące zdrowia w zakresie koniecznym do realizacji Umowy podstawowej oraz inne niezbędne do realizacji Umowy podstawowej.

  • co do danych osobowych przedstawiciela ustawowego uczestnika programu (małoletniego – pacjenta): imię, nazwisko.

  1. Przyjmujący zamówienie będzie w szczególności wykonywał następujące operacje dotyczące powierzonych danych osobowych utrwalanie, porządkowanie, organizowanie, przeglądanie, przekazywanie przedstawicielowi ustawowemu i Udzielającemu zamówienia.

  2. Przyjmujący zamówienie nie będzie przekazywał danych osobowych do państwa trzeciego lub organizacji międzynarodowej.

§3

Zasady przetwarzania


  1. Przyjmujący zamówienie zapewnia, że zgodnie z wymaganiami Rozporządzenia, dane osobowe będą przetwarzane za pomocą odpowiednich środków technicznych i organizacyjnych w sposób zapewniający odpowiednią ich ochronę, w tym ochronę przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

  2. Przyjmujący zamówienie zobowiązuje się pomagać Udzielającemu zamówienia poprzez odpowiednie środki techniczne i organizacyjne w zakresie udzielania odpowiedzi na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w art. 15-22 Rozporządzenia (Rozdział III Rozporządzenia). W szczególności Przyjmujący zamówienie zobowiązuje się – na żądanie Udzielającego zamówienia – do przygotowania i przekazania Udzielającemu zamówienia informacji potrzebnych do spełnienia żądania osoby, której dane dotyczą, w ciągu 3 dni od dnia otrzymania żądania Udzielającego zamówienia.

  3. Przyjmujący zamówienie zobowiązuje się do pomocy Udzielającemu zamówienia w wywiązaniu się z obowiązków określonych w art. 32-36 Rozporządzenia oraz obowiązków nałożonych na niego przez Miasto Stołeczne Warszawa związanych z powierzeniem danych osobowych uczestników programu.

  4. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, Przyjmujący zamówienie obowiązany jest zastosować odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Przyjmujący zamówienie obowiązany jest odpowiednio udokumentować zastosowanie tych środków, a także uaktualniać te środki w porozumieniu z Udzielającym zamówienia.

  5. Do przetwarzania danych osobowych przez Przyjmującego zamówienie, w celu i zakresie wynikającym z Umowy oraz na polecenie Udzielającego zamówienia, mogą być dopuszczone jedynie osoby posiadające imienne upoważnienie do przetwarzania danych osobowych. Imienne upoważnienia, są ważne do dnia odwołania, nie później jednak niż do dnia wygaśnięcia lub rozwiązania Umowy podstawowej.

  6. Przyjmujący zamówienie zobowiązuje się do zachowania w tajemnicy, o której mowa w art. 28 ust. 3 lit. b) Rozporządzenia, danych przetwarzanych w zakresie umowy, a w szczególności nieudostępniania ich innym podmiotom, także w postaci zagregowanych danych, zarówno podczas trwania umowy, jak i po jej ustaniu oraz gwarantuje, że osoby przetwarzające dane osobowe w ramach Umowy zobowiązane są do bezterminowego zachowania tajemnicy w zakresie przetwarzanych danych osobowych oraz sposobów zabezpieczenia danych osobowych.

  7. Udzielający zamówienia umocowuje Przyjmującego zamówienie do wydawania i odwoływania jego pracownikom/współpracownikom imiennych upoważnień do przetwarzania danych osobowych.

  8. Przyjmujący zamówienie prowadzi ewidencję swoich pracowników/współpracowników upoważnionych do przetwarzania danych osobowych w związku z wykonywaniem Umowy oraz informuje Udzielającego zamówienie o zmianach w zakresie osób upoważnionych do przetwarzania danych osobowych.

  9. Przyjmujący zamówienie przedstawi Udzielającemu zamówienie wzór upoważnienia do przetwarzania danych osobowych, zastosowany w celu realizacji obowiązków wynikających punktu 5 i 7 powyżej.

  10. Przyjmujący zamówienie, na żądanie Udzielającego zamówienia, zobowiązany jest przedstawić aktualną listę osób z przyznanym dostępem do danych osobowych.

  11. Przyjmujący zamówienie zaznajomi osoby upoważnione do przetwarzania danych osobowych z przepisami dotyczącymi ochrony danych osobowych i odpowiedzialnością za ochronę tych danych przed niepowołanym dostępem, nieuzasadnioną modyfikacją, zniszczeniem, nielegalnym ujawnieniem lub zebraniem.

  12. Przyjmujący zamówienie zobowiązany jest prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Udzielającego zamówienia, o których mowa w art. 30 ust. Rozporządzenia i udostępniać go Udzielającemu zamówienia na jego żądanie, chyba, że Przyjmujący zamówienie jest zwolniony z tego obowiązku na podstawie art. 30 ust. 5 Rozporządzenia.


§4

Obowiązki i prawa


  1. Udzielający zamówienia ma prawo weryfikacji przestrzegania zasad przetwarzania danych osobowych wynikających z Rozporządzenia, Umowy i innych przepisów prawa przez Przyjmującego zamówienie, poprzez prawo żądania udzielenia wszelkich informacji dotyczących powierzonych danych osobowych.

  2. Udzielający zamówienia ma prawo przeprowadzania w każdym czasie audytów lub inspekcji Przyjmującego zamówienie w zakresie zgodności operacji przetwarzania z Rozporządzeniem, Umową i innymi przepisami prawa.

  3. Przyjmujący zamówienie zobowiązuje się współpracować z Udzielającym zamówienia przy czynnościach audytów lub inspekcji prowadzonych przez Udzielającego zamówienia poprzez udzielanie wszelkich informacji dotyczących powierzonych do przetwarzania danych osobowych, w szczególności udostępnić dokumentację, pomieszczenia i infrastrukturę techniczną w zakresie niezbędnym do przeprowadzenia audytu lub inspekcji.

  4. Przyjmujący zamówienie zobowiązuje się do usunięcia uchybień stwierdzonych podczas audytu lub inspekcji w terminie wskazanym przez Udzielającego zamówienia.

  5. Udzielający zamówienia realizować będzie prawo audytu lub inspekcji z minimum 7 dniowym uprzedzeniem o terminie, w godzinach pracy Przyjmującego zamówienie, oraz wskazaniem zakresu audytu lub inspekcji.

  6. Audyty lub inspekcje mogą być przeprowadzone przez osobę upoważnioną przez Udzielającego zamówienia.

  7. Przyjmujący zamówienie niezwłocznie poinformuje Udzielającego zamówienia, jeżeli – jego zdaniem – wydane mu przez Udzielającego zamówienia polecenie stanowi naruszenie Rozporządzenia lub innych przepisów prawa w zakresie ochrony danych osobowych.


§5

Zgłaszanie incydentów oraz innych czynności


  1. Przyjmujący zamówienie zobowiązuje się w przypadku podejrzenia naruszenia ochrony danych osobowych:

  1. do poinformowania o tym Udzielającego zamówienia niezwłocznie, nie później niż w ciągu 16 godzin od jego wykrycia, w tym przekazania pisemnej informacji, o których mowa w art. 33 Rozporządzenia tj.

    • opisu charakteru naruszenia ochrony danych osobowych w tym w miarę możliwości wskazanie kategorii i przybliżonej liczby osób, których dane zostały naruszone oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

    • opisu możliwych konsekwencji naruszenia;

    • opisu zastosowanych lub proponowanych do zastosowania przez Udzielającego zamówienia środków w celu zaradzenia naruszeniu, w tym minimalizacji jego negatywnych skutków;

    • w przypadku powołania inspektora ochrony danych jego imię, nazwisko oraz dane kontaktowe.

  1. Przeprowadzenia wstępnej analizy ryzyka naruszenia praw i wolności osób, których dane dotyczą i przekazania wyników tej analizy do Udzielający zamówienia w ciągu 36 godzin od wykrycia zdarzenia stanowiącego naruszenie ochrony danych osobowych.

  1. Przekazania Udzielającemu zamówienia – na jego żądanie – wszystkich informacji niezbędnych do zawiadomienia osoby, której dane dotyczą zgodnie z art. 34 ust. 3 Rozporządzenia, w ciągu 48 godzin od wykrycia zdarzenia stanowiącego naruszenie ochrony danych osobowych.

  2. Przyjmujący zamówienie zobowiązuje się do niezwłocznego (lecz nie później niż w terminie 2 dni roboczych) poinformowania Udzielającego zamówienia o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania powierzonych danych osobowych przez Przyjmującego zamówienie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania powierzonych danych osobowych, skierowanej do Przyjmującego zamówienie, a także o wszelkich kontrolach i inspekcjach dotyczących przetwarzania powierzonych danych osobowych, w szczególności prowadzonych przez Organ nadzorczy.

  3. Powiadomienia, o których mowa w punkcie 1 i 2 niniejszego paragrafu, będą odbywały się za pośrednictwem poczty elektronicznej na adres Udzielającego zamówienia wskazany w § 9 niniejszej umowy, oraz w formie pisemnej listem poleconym na adres wskazany w § 12 umowy podstawowej.

  4. Przyjmujący zamówienie zobowiązuje się stosować do ewentualnych wskazówek lub zaleceń wydanych przez Organ nadzorczy zajmujący się ochroną danych osobowych, dotyczących przetwarzania danych osobowych, w szczególności w zakresie stosowania Rozporządzenia.



§ 6

Korzystanie przez Przyjmującego zamówienie z usług innego podmiotu przetwarzającego


  1. Przyjmujący zamówienie nie korzysta bez uprzedniej pisemnej zgody Udzielającego zamówienia z usług innego podmiotu przetwarzającego w celu wykonywania czynności przetwarzania danych osobowych powierzonych w ramach Umowy.


§ 7

Odpowiedzialność Przyjmującego zamówienie


  1. Przyjmujący zamówienie odpowiedzialny jest za przetwarzanie danych niezgodnie z treścią Umowy, Rozporządzeniem oraz innymi przepisami prawa.

  2. Przyjmujący zamówienie odpowiada za wszelkie szkody, jakie powstaną u Udzielającego zamówienia lub osób trzecich, w wyniku niezgodnego z Umową, Rozporządzeniem lub innymi przepisami prawa, przetwarzania powierzonych danych osobowych.

  3. W celu uniknięcia wątpliwości Przyjmujący zamówienie ponosi odpowiedzialność za działania swoich pracowników i innych osób, przy pomocy których przetwarza dane osobowe, jak za własne działania i zaniechania.

  4. Za niezgodne z Umową, Rozporządzeniem lub przepisami prawa przetwarzanie danych osobowych należy także rozumieć sytuację, gdy Organ nadzorczy odpowiedzialny za nadzór nad przestrzeganiem zasad przetwarzania danych osobowych stwierdzi, że Przyjmujący zamówienie nie respektuje tych zasad.


§ 8

Czas trwania


  1. Niniejsza umowa zawarta jest na czas trwania Umowy podstawowej. Z chwilą jej rozwiązania lub wygaśnięcia Przyjmujący zamówienie traci prawo do przetwarzania danych osobowych i zobowiązuje się niezwłocznie, nie dłużej niż w terminie 14 dni, usunąć lub zwrócić Udzielającemu zamówienia (w zależności od decyzji Udzielającego zamówienia) wszelkie dane osobowe, także ze wszelkich nośników, programów, aplikacji, pozostających w jego dyspozycji, w tym również wszelkich kopii, za wyjątkiem danych do których przetwarzania jest zobowiązany lub uprawniony na podstawie odrębnych przepisów.

  2. Przez usunięcie danych, o którym mowa w ust. 1, rozumieć należy takie zniszczenie, które nie pozwoli na ich ponowne odtworzenie.

  3. Przyjmujący zamówienie złoży Udzielającemu zamówienia pisemne oświadczenie potwierdzające trwałe usunięcie wszystkich danych.



§9

Komunikacja


Wszelkie oświadczenia i powiadomienia wynikające z Umowy, składane przez Strony w postaci elektronicznej, winny być składane na następujące adresy poczty elektronicznej:


§10

Postanowienia końcowe


  1. W zakresie nieuregulowanym niniejszą Umową mają zastosowanie przepisy prawa obowiązującego na terenie Rzeczypospolitej Polskiej, w tym Rozporządzenia.

  2. Sądem właściwym do rozstrzygnięcia sporów związanych z Umową będzie sąd właściwy miejscowo dla siedziby Udzielającego zamówienia

  3. Umowa obowiązuje od dnia __________________________________

  4. W przypadku, gdy Xxxxxx zawarły uprzednio jakąkolwiek umowę dotyczącą powierzenia przetwarzania danych osobowych w celu wykonania Umowy podstawowej, w związku z którą dochodzi do przetwarzania danych osobowych przez Przyjmującego zamówienie, umowa taka przestaje w całości obowiązywać z chwilą wejścia w życie Umowy. Tym samym Przyjmującego zamówienie Umowa zastępuje w całości wszelkie uprzednio zawarte przez Strony umowy bądź klauzule dotyczące powierzenia przetwarzania danych osobowych zawarte w Umowie podstawowej, w związku z którą dochodzi do przetwarzania danych osobowych przez Przyjmującego zamówienie.

  5. Umowa stanowi integralną część Umowy podstawowej.

  6. Wszelkie zmiany Umowy wymagają formy pisemnej pod rygorem nieważności.

  7. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.






Zleceniodawca Zleceniobiorca

................................ .................................



7


Document Metadata

Filed: July 9th, 2018