Umowa powierzenia przetwarzania danych osobowych (zwana dalej „Umową”)
Umowa powierzenia przetwarzania danych osobowych (zwana dalej „Umową”)
zawarta w dniu r. w Zamościu pomiędzy:
Samodzielnym Publicznym Szpitalem Wojewódzkim im. Papieża Xxxx Xxxxx XX w Zamościu, Xxxxx Xxxx Xxxxx XX 00, 00-000 Xxxxxx, wpisanym do Rejestru Stowarzyszeń, Innych Organizacji Społecznych i Zawodowych, Fundacji, Samodzielnych Publicznych Zakładów Opieki Zdrowotnej prowadzonego przez Sąd Rejonowy Lublin-Wschód w Lublinie z siedzibą w Świdniku VI Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000021024, NIP: 9222292491, reprezentowanym przez: , zwanym w dalszej części „Administratorem”
a
………………………………………………………………………………………………………………………
……………………………………………………………………………………………………………………..., zwanym w dalszej części „Podmiotem przetwarzającym”,
zwanymi każdą z osobna w dalszej części Umowy „Stroną”, a łącznie „Stronami”.
Mając na uwadze okoliczność, że w dniu 2020 r w Zamościu, Strony zawarły umowę numer…,
zwana dalej „Umową główną”, w związku z wykonywaniem której, przetwarzane są dane osobowe. Strony zgodnie postanowiły, co następuje:
§ 1
Powierzenie przetwarzania danych osobowych
1. Administrator, w trybie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwa- rzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanego dalej „Rozporządzeniem” lub „RODO”, powierza Podmiotowi przetwarzającemu dane osobowe do przetwarzania, na zasadach i w celu określonym w ni- niejszej Umowie oraz we właściwych przepisach regulujących przetwarzanie danych osobo- wych, w szczególności w RODO.
2. Rodzaj danych osobowych, kategorie osób, których dotyczą dane osobowe, jak również przedmiot, czas trwania, charakter i cel przetwarzania danych osobowych są wskazane w za- łączniku nr 1 do umowy.
3. Strony zobowiązują się wykonywać zobowiązania wynikające z umowy z najwyższą staranno- ścią, w celu prawidłowego zabezpieczenia prawnego, organizacyjnego i technicznego intere- sów Stron oraz osób, których dane osobowe dotyczą, w zakresie przetwarzania danych oso- bowych.
§ 2
Oświadczenia stron
1. Administrator oświadcza, że jest administratorem danych osobowych w rozumieniu art. 4 pkt 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, wskazanych w załączniku nr 1 do umowy.
2. Podmiot przetwarzający oświadcza, że:
1) Zna przepisy Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, zwanej dalej „ustawą”, RODO i inne przepisy prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą; oraz
2) Stosuje środki techniczne i organizacyjne spełniające wymogi określone w przepisach, o których mowa w pkt 1, a także że dysponuje doświadczeniem i odpowiednio wyszko - lonym personelem, umożliwiającymi prawidłowe przetwarzanie danych osobowych w zakresie i w celu określonych w umowie, a także zapewniających adekwatny stopień bezpieczeństwa, odpowiadający ryzyku związanemu z przetwarzaniem danych osobo- wych, o którym mowa w art. 32 Rozporządzenia. Podmiot przetwarzający zobowiązuje się w szczególności zabezpieczyć powierzone dane przed udostępnieniem osobom nie- upoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
§ 3
Obowiązki podmiotu przetwarzającego
1. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą umową, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowią- zującego, które chronią prawa osób, których dane dotyczą.
2. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy, w tym do prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych. Ponadto podmiot przetwarzający zobowiązuje się do przeszkolenia tych osób pod kątem przepisów i zasad dotyczących przetwarzania danych osobowych, w szczególności Ustawy oraz RODO, a także odpowiedzialności karnej i cywilnej za ich nieprzestrzeganie.
3. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, o której mowa w art. 28 ust. 3 lit. b Rozporządzenia, przetwarzanych danych przez osoby, które upoważnione zostaną do przetwarzania danych osobowych w celu realizacji niniejszej Umowy, zarówno w trakcie trwania zatrudnienia ich u Podmiotu przetwarzającego, jak i po jego ustaniu.
4. Z zastrzeżeniem ust. 5, przetwarzanie danych osobowych przez Podmiot Przetwarzający będzie następować wyłącznie w sposób zgodny z prawem, w zakresie określonym w Umowie, wyłącznie na udokumentowane polecenie Administratora, wyrażone w formie dokumentowej (papierowej lub cyfrowej, w tym za pośrednictwem poczty elektronicznej) – chyba, że przetwarzanie następować będzie w wykonaniu obowiązku nałożonego przepisami prawa.
5. Podmiot przetwarzający ma prawo przetwarzać dane osobowe, jeżeli obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Podmiot Przetwarzający. W takim przypadku Podmiot przetwarzający jest zobowiązany poinformować Administratora o stosującym się do niego obowiązku prawnym co najmniej na 24 godziny przed rozpoczęciem przetwarzania, chyba że wiążące go przepisy zabraniają mu udzielania takiej informacji, z uwagi na ważny interes publiczny.
6. Przetwarzanie danych osobowych przez Podmiot przetwarzający jest ograniczone do celu i zakresu wskazanych w załączniku nr 1 do umowy.
7. Podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, ma obowiązek współdziałania z Administratorem poprzez odpowiednie środki techniczne i organizacyjne w celu wywiązania się z obowiązku odpowiadania na żądania osoby, której dane osobowe dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.
8. Podmiot przetwarzający zobowiązuje się do prowadzenia dokumentacji opisującej sposób przetwarzania danych, w tym rejestru kategorii czynności przetwarzania danych osobowych zgodnie z art. 30 RODO. Podmiot przetwarzający udostępnia na żądanie Administratora prowadzony rejestr kategorii czynności przetwarzania danych.
9. Podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO. W szczególności niezwłocznie, nie później jednak niż w ciągu 24 godzin od chwili uzyskania informacji o potencjalnym naruszeniu, Podmiot przetwarzający poinformuje o tym Administratora oraz umożliwi mu uczestnictwo w czynnościach wyjaśniających i informuje go o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu faktycznego naruszenia. Powiadomienie o stwierdzeniu naruszenia powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia organów nadzoru.
10. Podmiot przetwarzający w terminie 7 dni od ustania obowiązywania umowy głównej, zależnie od decyzji Administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że szczególne przepisy prawa nakazują przechowywanie danych osobowych. W takim wypadku Podmiot przetwarzający może przechowywać tylko te dane osobowe, których dotyczy przedmiotowy obowiązek prawny i jedynie w sposób co najmniej zgodny z niniejszą Umową. Jeżeli trwałe usunięcie danych osobowych wymaga zniszczenia nośnika na którym się znajdują, nośnik raki powinien zostać zniszczony. Zwrot lub usunięcie danych osobowych zostanie wykazane w pisemnym protokole, podpisanym przez przedstawiciela Podmiotu Przetwarzającego i dostarczonym Administratorowi w terminie 7 dni od dokonania wskazanych w nim czynności.
§ 4
Bezpieczeństwo danych osobowych
1. Podmiot Przetwarzający stosuje środki techniczne i organizacyjne, odpowiednie do zagrożeń oraz charakteru, zakresu, kontekstu i celu przetwarzania danych osobowych, uwzględniając ryzyko na- ruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, aby zapewnić stopień bezpieczeństwa danych osobowych odpowiadający temu ryzy- ku, w szczególności przed ich przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem. Podmiot przetwarzają- cy mając to na uwadze x.xx.:
1) Zastosuje pseudonimizację i szyfrowanie danych osobowych, jeśli będzie to niezbędne dla zachowania ich bezpieczeństwa,
2) Zapewni zdolność do ciągłego zachowania poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
3) Zapewni zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
4) Będzie przeprowadzał regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania,
5) Podejmie działania mające na celu zapewnienie by każda osoba fizyczna działająca z upoważnienia Podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie Administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.
2. Podmiot Przetwarzający zobowiązuje się stale monitorować stan stosowanych zabezpieczeń da- nych osobowych oraz występujących zagrożeń bezpieczeństwa, i w razie potrzeby aktualizuje sto- sowane środki techniczne i organizacyjne, tak, żeby zapewnić najwyższy osiągalny poziom ochro- ny danych osobowych.
3. Podmiot Przetwarzający niezwłocznie zawiadamia Administratora, przed podjęciem jakichkolwiek działań, o każdym przypadku:
1) Wystąpienia jakiegokolwiek organu z żądaniem udostępnienia danych osobowych, chy- ba że zakaz ujawnienia tej informacji wynika z obowiązujących przepisów;
2) Wystąpienia przez osobę, której dane osobowe dotyczą, z żądaniem dotyczącym prze- twarzania danych osobowych lub ich treści.
4. Podmiot Przetwarzający informuje Administratora w terminie wskazanym w §3 ust. 9 Umowy o wszelkich wykrytych naruszeniach bezpieczeństwa danych osobowych, przekazując Administrato- rowi wszelkie dostępne Podmiotowi Przetwarzającemu informacje na temat naruszenia, w szcze- gólności:
1) Charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane osobowe dotyczą, oraz kategorie i przybliżoną liczbę wpisów, których dotyczy naruszenie;
2) Imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie inne- go punktu kontaktowego, od którego można uzyskać więcej informacji;
3) Możliwe konsekwencje naruszenia ochrony danych osobowych; oraz
4) Środki zastosowane lub proponowane przez Podmiot Przetwarzający w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
5. Podmiot Przetwarzający współdziała z Administratorem przy ustalaniu szczegółów związanych ze zgłoszonym Administratorowi naruszeniem, w szczególności przyczyn i skutków jego wystąpienia oraz wdraża zalecane przez Administratora środki mające na celu złagodzenie ewentualnych nie- korzystnych skutków naruszenia danych osobowych oraz środki naprawcze.
6. Podmiot Przetwarzający niezwłocznie informuje Administratora, jeśli jego zdaniem wydane mu przez Administratora polecenie dotyczące przetwarzania danych osobowych stanowi naruszenie obowiązujących przepisów.
§ 5
Prawo do kontroli
1. Zgodnie z art. 28 ust. 3 lit. h Rozporządzenia Administrator ma prawo kontrolowania sposobu wy- pełniania przez Podmiot Przetwarzający jego obowiązków określonych w umowie lub w obowiązu - jących przepisach oraz czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczaniu powierzonych danych osobowych spełniają postanowienia Umowy i Rozporzą- dzenia. W szczególności Administrator może żądać udostępnienia określonych informacji lub do- kumentów oraz może przeprowadzać – samodzielnie lub przez upoważnionego przez Administra - tora pracownika lub współpracownika – audyty, w tym inspekcje w miejscu przetwarzania danych osobowych przez Podmiot przetwarzający.
2. Podmiot przetwarzający ma obowiązek współpracować z Administratorem lub upoważnionym przez Administratora pracownikiem lub współpracownikiem w czasie przeprowadzanej kontroli, w sposób umożliwiający Administratorowi weryfikację prawidłowej realizacji obowiązków Podmiotu przetwarzającego.
3. Administrator realizować będzie prawo kontroli w godzinach pracy Podmiotu przetwarzającego i z minimum 7 dniowym jego uprzedzeniem.
4. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli, o której mowa w ust. 1, w terminie wskazanym przez Administratora.
5. Podmiot przetwarzający zobowiązuje się do udostępnienia Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia przez siebie obowiązków określonych w art. 28 Rozporzą- dzenia. Podmiot przetwarzający zobowiązany jest do udzielenia pisemnej informacji w terminie 5 dni od dnia otrzymania wniosku Administratora.
§ 6
Dalsze powierzenia przetwarzania
1. Podmiot przetwarzający ma prawo korzystać z podwykonawców przy przetwarzaniu danych osobowych (dalsze powierzenie przetwarzania), pod warunkiem, że przed powierzeniem podwykonawcy przetwarzania danych osobowych:
1) Uzyska zgodę od Administratora w formie pisemnej pod rygorem nieważności;
2) Upewni się, że spełnia te same wymogi i obowiązki jakie zostały nałożone na podmiot przetwarzający w niniejszej umowie, w szczególności w zakresie gwarancji ochrony po- wierzonych danych osobowych.
2. Podmiot przetwarzający ponosi wobec Administratora pełną odpowiedzialność za niewywiązywanie się przez podwykonawcę ze spoczywających na nim obowiązków ochrony danych.
3. Powierzenie danych do dalszego przetwarzania następuje na podstawie pisemnej umowy, nakłada- jącej na podwykonawcę co najmniej takie same obowiązki jak nałożone w niniejszej umowie na Podmiot przetwarzający z zachowaniem wymogów wynikających z art. 28 ust. 4 Rozporządzenia.
4. Wykaz podwykonawców, z których Podmiot przetwarzający korzysta w dniu zawarcia umowy, i co do których Administrator wyraża zgodę na dalsze powierzenie przetwarzania danych osobowych, stanowi załącznik nr 2 do umowy.
§ 7
Odpowiedzialność Podmiotu przetwarzającego
1. Podmiot przetwarzający odpowiedzialny jest za przetwarzanie danych osobowych niezgodnie z treścią Umowy, przepisami Rozporządzenia lub innymi przepisami, a w szczególności za udostęp- nienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
2. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o wszelkich wiadomych mu:
1) Postępowaniach, w szczególności sądowych lub administracyjnych,
2) Decyzjach administracyjnych i orzeczeniach sądowych,
3) Planowanych lub realizowanych kontrolach i inspekcjach, w szczególności prowadzo- nych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Oso- bowych lub inny podmiot powołany odpowiednimi przepisami do pełnienia tożsamej funkcji, dotyczących danych, powierzonych przez Administratora.
3. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem, jeśli nie dopełnił obowiązków, które nakłada na niego niniejsza umowa, lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom. Podmiot przetwarzający odpowiada za szkody spowodowane zastosowaniem lub niezastosowaniem właściwych środków bezpieczeństwa.
4. Jeżeli w związku z jakimkolwiek uchybieniem Podmiotu przetwarzającego w zakresie obowiązków przewidzianych w umowie, Administrator zostanie obciążony grzywną lub karą lub poniesie inne sankcje określone obowiązującymi przepisami, bądź też zostanie obciążony obowiązkiem zapłaty odszkodowania, Podmiot przetwarzający będzie miał obowiązek wypłaty Administratorowi odszkodowania rekompensującego poniesioną przez Administratora szkodę.
§ 8
Zasady zachowania poufności
1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych w związku z realizacją Umowy od Ad- ministratora i współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały ich zabezpieczenie, w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
§ 9
Czas trwania umowy
1. Umowa zostaje zawarta na czas trwania Umowy głównej. W celu uniknięcia wątpliwości, rozwiązanie Umowy głównej skutkuje rozwiązaniem niniejszej umowy.
2. W przypadku stwierdzenia naruszenia przez Podmiot przetwarzający obowiązków wynikających z umowy, Administrator może wypowiedzieć Umowę ze skutkiem natychmiastowym, w szczególności gdy:
1) Podmiot przetwarzający przetwarza dane osobowe w sposób niezgodny z prawem,
2) Podmiot przetwarzający mimo zobowiązania do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie,
3) Podmiot przetwarzający powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora,
4) Przeciw Podmiotowi przetwarzającemu zostało wszczęte przez Prezesa Urzędu Ochrony Danych Osobowych postępowanie w związku z naruszeniem przepisów ustawy o ochronie danych osobowych.
§ 10
Postanowienia końcowe
1. Podmiotowi przetwarzającemu nie przysługuje wynagrodzenie za wykonywanie Umowy.
2. Umowa stanowi całość porozumienia pomiędzy Stronami i zastępuje w całości uprzednie lub rów- noczesne uzgodnienia poczynione przez Strony (w formie pisemnej lub ustnej) w przedmiocie re- gulowanym postanowieniami niniejszej Umowy.
3. Załączniki do Umowy stanowią jej integralną część.
4. Wszelkie spory między Stronami będą rozwiązywane na zasadzie polubownych negocjacji. W przypadku nieosiągnięcia przez Xxxxxx porozumienia, spór zostanie przekazany do rozstrzygnię- cia sądowi powszechnemu właściwemu dla siedziby Administratora.
5. Wszelkie zmiany niniejszej Umowy powinny być dokonane w formie pisemnej pod rygorem nieważności.
6. W zakresie nieuregulowanym niniejszą Umową zastosowanie mają przepisy Kodeksu cywilnego, Ustawy, RODO oraz inne przepisy powszechnie obowiązującego prawa.
7. W przypadku gdy niniejsza Umowa odwołuje się do przepisów prawa, oznacza to również inne przepisy dotyczące ochrony danych osobowych, a także wszelkie nowelizacje, jakie wejdą w życie po dniu zawarcia Umowy, jak również akty prawne, które zastąpią wskazane ustawy i rozporządzenia.
8. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
9. Umowa wchodzi w życie z dniem podpisania przez obie strony.
………………………………….. ………………………………………..
Administrator Podmiot przetwarzający
Załącznik nr 1 – Dane osobowe
Rodzaje danych osobowych | UWAGA do ADMINISTRATORA: imię, nazwisko, adres, numer PESEL, numer telefonu |
Kategorie osób, których dane osobowe dotyczą | UWAGA do ADMINISTRATORA: pacjenci |
Zakres przetwarzania danych osobowych | zbieranie, utrwalanie, organizowanie, porządkowanie, adaptowanie, przechowywanie, modyfikowanie, pobieranie, przeglądanie, udostępnianie, zmienianie, usuwanie |
Charakter przetwarzania | systematyczny |
Cel przetwarzania | Wykonanie umowy ………………………... z dnia …………………. |
Czas przetwarzania | Okres obowiązywania umowy z dnia …………………………………. |