Umowa powierzenia przetwarzania danych osobowych

Umowa powierzenia przetwarzania danych osobowych

(zwana dalej „Umowa Powierzenia”), zawarta pomiędzy:

Uniwersyteckim Szpitalem Klinicznym Nr 1 w Lublinie,

00-000 Xxxxxx xx. Xxxxxxxx 00, wpisanym do Rejestru Stowarzyszeń, Innych Organizacji Społecznych i Zawodowych, Fundacji oraz Samodzielnych Publicznych Zakładów Opieki Zdrowotnej prowadzonego przez Sąd Rejonowy Lublin-Wschód w Lublinie z siedzibą w Świdniku, VI Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000005919, NIP 000-00-00-000, REGON 431029234,reprezentowanym przez:

lek. xxx. Xxxxx Xxxxxxxx - Dyrektora

zwanym dalej „Zleceniodawcą” lub „Administratorem”, a

……………………………………………………………………………………………………………

………….

zwanym dalej „Przetwarzającym” reprezentowanym przez:

............................................................

zwanymi dalej łącznie „Stronami"

została zawarta umowa o następującej treści:

§ 1

Powierzenie przetwarzania danych osobowych

1. Administrator powierza Przetwarzającemu, w trybie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych

w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) zwanego dalej RODO, przetwarzanie danych osobowych, na zasadach i w celu określonym w niniejszej Umowie.

2. Niniejsza Umowa o powierzenie przetwarzania danych osobowych (dalej: „Umowa Powierzenia") została zawarta w związku z umową nr ........................... na Sprzedaż

………………………………………………………………w ramach ………. – zgodnie z zapisami cytowanej wyżej umowy, (dalej jako: „Umowa Główna").

3. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą umową, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.

4. Podmiot przetwarzający oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi Rozporządzenia.

§ 2

Zakres i cel przetwarzania danych

1. Administrator powierza Przetwarzającemu do przetwarzania dane osobowe, znajdujące się na nośnikach informacji stanowiących części składowe lub przynależności serwisowanych urządzeń Administratora, w tym przetwarzanych zdalnie, do których Przetwarzający może uzyskiwać dostęp w związku z zapewnieniem opieki serwisowej aparatury medycznej do wykonywania badań

obrazowych na potrzeby realizacji Umowy Głównej (dalej jako: „dane osobowe") - w zakresie określonym niniejszą Umową powierzenia, tj. w szczególności:

1) Dane zwykłe:

a. oznaczenie pacjenta zgodnie z art. 25 pkt. 1 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta , pozwalające na ustalenie jego tożsamości: nazwisko i imię (imiona); numer PESEL; datę urodzenia i płeć w przypadku gdy numer PESEL nie został nadany; określenie rodzaju dokumentu potwierdzającego tożsamość obejmującego jego nazwę oraz nazwę kraju, w którym został wystawiony; adres miejsca zamieszkania - wpisywany w pierwszej wytworzonej dla tego pacjenta dokumentacji wewnętrznej, numer telefonu oraz inne dane osobowe, które mogą być wprowadzane do systemu;

b. oznaczenie osoby udzielającej świadczeń zdrowotnych oraz kierującej na badanie lub leczenie, zgodnie z § 10 pkt. 3. Rozporządzenia Ministra Zdrowia z dnia 6 kwietnia 2020

r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania: imię (xxxxxx) i nazwisko, tytuł zawodowy, numer prawa wykonywania zawodu, uzyskane specjalizacje, unikalny identyfikator upoważnienia nadany przez Rejestr Asystentów Medycznych, o którym mowa w art. 31b ust. 7 pkt 7 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia – w przypadku osoby upoważnionej, o której mowa w art. 31b ust. 1 tej ustawy, a także podpis.

2) Szczególne kategorie danych: informacje dotyczące stanu zdrowia lub stanu funkcjonowania oraz procesu diagnostycznego, leczniczego, pielęgnacyjnego lub rehabilitacji.

2. Powierzone przez Administratora dane osobowe będą przetwarzane przez Przetwarzającego wyłącznie w celu realizacji umowy, w szczególności w zakresie serwisu gwarancyjnego i przeglądów okresowych …………………………………………………….

3. Na powierzonych do przetwarzania danych będą wykonywane następujące operacje lub zestaw operacji: utrwalanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, dopasowywanie lub łączenie, ograniczanie, a także usuwanie lub niszczenie (wyłącznie na polecenie Administratora)”

3. Przetwarzający zobowiązuje się do przetwarzania powierzonych danych osobowych wyłącznie w celach związanych z realizacją umowy zawartej z Administratorem i wyłącznie w zakresie, jaki jest niezbędny do realizacji tych celów.

§ 3

Obowiązki podmiotu przetwarzającego

1. Przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia.

2. Przetwarzający zobowiązuje się:

1) dołożyć szczególnej staranności przy przetwarzaniu powierzonych danych osobowych.

2) nadać upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy.

3) zapewnić zachowanie w tajemnicy (o której mowa w art. 24 ust. 6 ustawy z dnia 6 listopada 2008 r.

o prawach pacjenta i Rzeczniku Praw Pacjenta) powierzonych do przetwarzania danych osobowych pacjentów Administratora, także po śmierci pacjenta.

4) zapewnić, aby realizacja umowy powierzenia nie powodowała zakłócenia udzielania świadczeń zdrowotnych udzielanych przez Administratora, w szczególności w zakresie zapewnienia, bez zbędnej zwłoki, dostępu do danych zawartych w dokumentacji medycznej.

3. Po wygaśnięciu lub wypowiedzeniu Umowy Powierzenia, Przetwarzający niezwłocznie zwróci Szpitalowi wszelkie materiały lub nośniki z danymi, które pozostają w dyspozycji jego i podwykonawców oraz podejmie stosowne działania, mające na celu wyeliminowanie możliwości dalszego przetwarzania danych, i usunie dane w sposób uniemożliwiający ich odtworzenie z wszelkich posiadanych przez siebie i podwykonawców nośników informacji (w tym również z kopii zapasowych), z zastrzeżeniem ust. 6.

4. W przypadku, gdy prawo Unii lub prawo państwa członkowskiego nakazują Przetwarzającemu lub jego podwykonawcy przechowywanie danych przez okres wskazany w tych przepisach, Przetwarzający lub jego podwykonawca mają prawo przechowywać dane wyłącznie w zakresie koniecznym do wykonania tego obowiązku prawnego.

5. W miarę możliwości Przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 Rozporządzenia.

6. Zaleca się by Przetwarzający, każdorazowo przed przystąpieniem do wykonywania jakiegokolwiek świadczenia objętego umową (dot. działań serwisowych), wykonał kopię bezpieczeństwa danych zgromadzonych na nośnikach informacji stanowiących części składowe lub przynależności serwisowanych urządzeń. Przetwarzający nie odpowiada za utratę ww. danych podczas wykonywania świadczeń objętych umową, w tym za koszty odtworzenia utraconych danych, z zastrzeżeniem, że powyższe nie dotyczy sytuacji, w której utrata danych nastąpiła z bezpośredniej winy Przetwarzającego lub w skutek wykonania świadczeń bez zachowania należytej staranności.

7. Przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi w ciągu 48 godzin. Powiadomienie powinno być dokonane drogą elektroniczną na adresy poczty elektronicznej: xxx@xxx0.xx i w szczególności opisywać:

1) charakter naruszenia, w tym miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,

2) opis możliwych konsekwencji naruszenia

3) opis środków zastosowanych lub proponowanych przez Przetwarzający w celu zaradzenia naruszeniu ochrony danych osobowych, w tym opis działań podjętych w celu zminimalizowania ewentualnych negatywnych skutków naruszenia.

8. W celu wykonania obowiązków wynikających z niniejszej Umowy Przetwarzający może przetwarzać także dane znajdujące się w dostarczonych z tytułu Umowy Głównej dokumentach, urządzeniach, oraz w systemach informatycznych x.xx. w trybie zdalnej obsługi serwisowej, oraz działań serwisowych

w siedzibie Administratora, Przetwarzającego lub Podwykonawcy w zakresie ograniczonym do wypełnienia obowiązków Umowy Głównej.

9. W przypadku dostępu zdalnego do aparatury medycznej, dostęp ten będzie się odbywał w warunkach bezpiecznych, t. j.:

1) transmisja danych będzie zabezpieczona kryptograficznie,

2) dostęp będzie realizowany przy użyciu metod uwierzytelniania;

3) zapewnione zostaną mechanizmy nadzoru realizowanych działań (logowanie czynności i zdarzeń, w tym np. daty i czasu oraz loginu użytkownika serwisującego system wraz z zakresem przeprowadzonych czynności/zmian danych).

10. Przetwarzający zapewnia:

1) zdolność ciągłego utrzymania poufności, integralności, rozliczalności i dostępności danych osobowych;

2) zdolność do szybkiego przywrócenia dostępności danych osobowych; w razie incydentu fizycznego lub technicznego.

11. Administrator w celu zapewnienia prawidłowej realizacji Umowy Głównej zapewni Przetwarzającemu dostęp do pomieszczeń, w których zlokalizowana jest aparatura medyczna, zapewni dostęp do urządzeń, w tym do nośników danych i znajdujących się na nich informacji. Dane osobowe mogą być przetwarzane również poza siedzibą Administratora w przypadku konieczności serwisowania aparatury medycznej w siedzibie Przetwarzającego. Przekazanie danych osobowych Przetwarzającemu poza siedzibę Administratora potwierdza na piśmie upoważniony pracownik Przetwarzającego. Po wykonaniu czynności serwisowych, o których mowa w Umowie Głównej, Przetwarzający niezwłocznie zobowiązuje się usunąć wszelkie dane osobowe, których przetwarzanie zostało mu powierzone x.xx. z nośników danych i wydruków, pozostających w dyspozycji Przetwarzającego.

12. Przetwarzający zobowiązuje się do niezwłocznego skutecznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Przetwarzającego danych osobowych określonych w Umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Przetwarzający, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania u Przetwarzającego tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora.

13. Zapisy w zakresie opisanego wyżej obowiązku Przetwarzającego winny być zawarte także w umowie powierzenia pomiędzy Przetwarzającym a Jego podwykonawcą.

§ 4

Prawo kontroli

1. Administrator zgodnie z art. 28 ust. 3 lit. h RODO ma prawo kontroli w celu weryfikacji, czy środki zastosowane przez Przetwarzającego przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia Umowy.

2. Administrator realizować będzie prawo kontroli w godzinach pracy Przetwarzającego i po Jego uprzednim zawiadomieniu o zamiarze przeprowadzenia czynności kontrolnych w terminie, co najmniej 5 dni kalendarzowych od daty zawiadomienia.

3. Przetwarzający zobowiązuje się do udostępnienia Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO.

4. Przetwarzający zobowiązany jest umożliwić pracownikom Administratora lub podmiotom kontrolującym

w imieniu Administratora, sprawdzenie pomieszczenia oraz urządzeń, w których przetwarzane są dane osobowe, jak również udzielić niezbędnych wyjaśnień.

5. Przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora danych nie dłuższym niż 7 dni, o ile zalecenia te są zgodne z niniejszą umową i obowiązującymi przepisami prawa.

6. W przypadku, gdy Przetwarzający skorzysta z prawa do dalszego powierzenia przetwarzania danych osobowych innym podmiotom, podwykonawca umożliwi Przetwarzającemu i bezpośrednio Administratorowi przeprowadzenia czynności kontrolnych w celu dokonania oceny spełnienia przez podwykonawcę opisanych w niniejszej umowie obowiązków w zakresie przetwarzania i ochrony powierzonych danych osobowych na zasadach analogicznych do opisanych wyżej. Zapisy w zakresie opisanego wyżej uprawnienia Administratora winny być

zawarte w umowie powierzenia pomiędzy Przetwarzającym a Jego podwykonawcą.

§ 5

Wsparcie podczas kontroli Urzędu Ochrony Danych Osobowych

1. W ramach wynagrodzenia należnego z tytułu wykonywanej Usługi Przetwarzający zobowiązuje się do wspierania Administratora podczas kontroli Urzędu Ochrony danych Osobowych. Przetwarzający dostarczy osobie wskazanej przez Administratora pisemnych wyjaśnień, dokumentów, zapisów dotyczących przetwarzania powierzonych danych osobowych – niezwłocznie, ale nie później niż w terminie 2 dni roboczych od skierowania przez Administratora zapytania w formie papierowej lub elektronicznej na adres poczty elektronicznej: xxx@xxxx0.xxxxxx.xx oraz: xxxxxxxxxxx@xxx0.xx

2. Przetwarzający zobowiązuje się do zapewnienia właściwej współpracy podczas kontroli Administratora poprzez:

1) udostępnienie dokumentów i zapisów,

2) umożliwienie wglądu w informacje przechowywane na nośnikach danych i w systemach informatycznych;

3) umożliwienie osobie wskazanej przez Administratora dokonywania przeglądów stanu systemów służących przetwarzaniu oraz ich zabezpieczeń;

4) umożliwienie przeprowadzenia testów stosowanych przez Administratora zabezpieczeń;

5) udzielenie ustnych i pisemnych wyjaśnień.

§ 6

Dalsze powierzenie danych do przetwarzania, odpowiedzialność Przetwarzającego

1. Przetwarzający nie może bez pisemnej zgody Administratora, udzielonej pod rygorem nieważności, powierzać innym podmiotom przetwarzania danych osobowych ani ich przekazywać osobom trzecim.

2. Przetwarzający zobowiązany jest poinformować pisemnie Administratora o wszelkich zamierzonych działaniach dotyczących dodania, zmianach lub zastąpienia innych podmiotów przetwarzających, dając tym samym Administratorowi możliwość wyrażenia sprzeciwu wobec tych działań. Administrator może wyrazić sprzeciw w formie pisemnej w terminie 5 dni roboczych od powzięcia powyższej informacji od Przetwarzającego.

3. Przekazanie powierzonych danych do państwa trzeciego lub organizacji międzynarodowej może nastąpić jedynie na pisemne polecenie Administratora chyba, że obowiązek taki nakłada na Podmiot przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W przypadku posiadania takiego obowiązku prawnego przez Przetwarzającego, Przetwarzający powiadamia o tym Administratora przed rozpoczęciem przetwarzania o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.

4. W przypadku, gdy Przetwarzający skorzysta z prawa do dalszego powierzenia przetwarzania danych osobowych innym podmiotom (podwykonawcom), Przetwarzający jest zobowiązany do niezwłocznego przekazania Administratorowi informacji zawierającej nazwę podmiotu (podwykonawcy), jego dane rejestrowe oraz na jaki okres i w jakim zakresie nastąpiło dalsze powierzenie przetwarzania danych osobowych.

5. Powierzenie przetwarzania Danych osobowych innemu podmiotowi nastąpi na podstawie umowy zawartej pomiędzy Przetwarzającym i innym podmiotem, której postanowienia zapewnią ochronę danych osobowych

w sposób nie mniejszy niż jest to przewidziane w niniejszej Umowie. Przetwarzający ponosi odpowiedzialność za działania lub zaniechania podmiotów, którym dalej powierzył przetwarzanie Danych osobowych jak za działania własne.

6. Zawarta Umowa Powierzenia musi zawierać wszystkie zobowiązania określone w niniejszej umowie oraz precyzować: czas, charakter i cel przetwarzania danych z uwzględnieniem zakresu (lub kategorii) przetwarzanych danych.

7. Administrator ma prawo do nie wyrażenia zgody na dalsze powierzenie wskazanemu przez Przetwarzającemu podwykonawcy w przypadku, gdy Administratorowi znane są okoliczności nie zastosowania przez wskazany podmiot odpowiednich środków technicznych i organizacyjnych mających na celu należyte, odpowiednie do zagrożeń oraz kategorii danych objętych ochroną zabezpieczenie powierzonych do przetwarzania danych osobowych, w szczególności nie zabezpieczenia ich przed przypadkowym lub niezgodnym z prawem zniszczeniem, utraceniem, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, a także w przypadku, kiedy Administratorowi znane są informacje o naruszeniach ochrony danych osobowych występujących w podmiocie wskazanym przez Przetwarzającego.

8. Przetwarzający odpowiada za szkody wyrządzone wskutek niewykonania lub nienależytego wykonania obowiązków wynikających z Umowy oraz z obowiązujących przepisów, w tym

za szkody powstałe w wyniku udostępnienia danych osobowych osobom nieupoważnionym, ich

zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem obowiązujących przepisów, nieuprawnioną zmianą danych, uszkodzeniem lub zniszczeniem, które nastąpiły z winy

Przetwarzającego. Odpowiedzialność ograniczona jest do wysokości szkody rzeczywistej.

9. Lista podwykonawców przetwarzania stanowi załącznik nr 1.

10. Pisemne polecenie Administratora stanowią zadania zlecone umową główną.”

§ 7

Obowiązywanie i rozwiązanie Umowy

1. Niniejsza Umowa Powierzenia obowiązuje od dnia jej zawarcia przez czas trwania umowy, o której mowa w §1 ust. 2 tj. na czas świadczenia opieki serwisowej.

2. Wypowiedzenie umowy tożsame jest z terminem wypowiedzenia umowy o której mowa w § 1 ust. 2.

3. Administrator danych może rozwiązać niniejszą umowę ze skutkiem natychmiastowym gdy Przetwarzający:

1) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie;

2) przetwarza dane osobowe w sposób niezgodny z umową;

3) powierzył przetwarzanie danych osobowych innemu podmiotowi bez uprzedniej zgody Szpitala lub nie poinformował Szpitala o przekazywaniu danych do państwa trzeciego lub organizacji międzynarodowej.

§ 9

Zasady zachowania poufności

1. Przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).

2. Przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.

§ 10

Postanowienia końcowe

1. Administrator i Przetwarzający z tytułu i dla zapewnienia współpracy celem realizacji zapisów Umowy Głównej udostępnią dane osobowe swoich pracowników stronie drugiej w maksymalnym zakresie: imię

i nazwisko, tytuł zawodowy, stanowisko, służbowy adres poczty elektronicznej, służbowy numer telefonu.

2. Umowa Powierzenia została sporządzona w dwóch jednobrzmiących egzemplarzach dla każdej ze stron.

3. W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego, RODO oraz przepisów prawa UE i krajowego regulujących prawa osób, których dane są przetwarzane.

4. Wszelkie spory wynikające na tle wykonania niniejszej umowy rozstrzygać będzie sąd powszechny właściwy miejscowo ze względu na siedzibę Administratora.

Administrator Przetwarzający

(Szpital)