Umowa powierzenia przetwarzania danych osobowych Zawarta w dniu roku (dalej: Umowa)
Umowa powierzenia przetwarzania danych osobowych Zawarta w dniu roku (dalej: Umowa)
pomiędzy
z siedzibą , ul. , REGON: , NIP: , wpisanym do Rejestru Przedsiębiorców prowadzonego przez Sąd w , pod numerem KRS , zwanym dalej Administratorem,
reprezentowanym przez:
-
-
a
Roche Diagnostics Polska Sp. z o. o. z siedzibą w Warszawie, przy ul. Xxxxxxxxxxx 0, 00-000 Xxxxxxxx, wpisaną do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla x.xx. w Warszawie XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000132695, NIP: 000-00-00-000, kapitał zakładowy 8 000 000 zł, zwaną dalej Procesorem,
reprezentowaną przez:
-
-
Łącznie zwanych „Stronami”
Mając na uwadze, że:
• w dniu …………………….. Strony zawarły umowę ……………………. (zwaną dalej „Umową główną”), której przedmiotem jest ,
• usługi świadczone przez Procesora w ramach Umowy głównej są związane z wykonywaniem przez Procesora operacji na danych osobowych w imieniu Administratora,
• Administrator, jako administrator danych osobowych jest obowiązany zapewnić, iż przetwarzanie przez Procesora danych osobowych w jego imieniu będzie odbywało się zgodnie z art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),
Xxxxxx postanowiły zawrzeć umowę o następującej treści:
§1
Definicje
Użyte w umowie określenia będą miały następujące znaczenie:
1) Rozporządzenie (UE) 2016/679 – oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
2) Umowa główna – oznacza zawartą przez Strony umowę o świadczenie usług z dnia ………………….
3) Usługi – oznaczają usługi serwisowe wyrobów medycznych używanych przez Administratora, wykonywane w zakresie koniecznym do wykonania Umowy głównej;
4) administrator – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;
5) dane osobowe – oznacza dane w rozumieniu art. 4 pkt 1) Rozporządzenia (UE) 2016/679, tj. wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
6) naruszenie ochrony Danych Osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych Osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
7) organ nadzorczy – oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51 Rozporządzenia (UE) 2016/679;
8) przetwarzanie – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
9) podmiot przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
10) państwo trzecie – oznacza państwo nienależące do Europejskiego Obszaru Gospodarczego.
§ 2
Przedmiot umowy
Przedmiotem niniejszej umowy jest określenie zasad przetwarzania oraz zabezpieczania danych osobowych, które Procesor przetwarza w imieniu Administratora.
§ 3
Dane osobowe przetwarzane przez Procesora w imieniu Administratora
1. Administrator jako administrator, działając na podstawie art. 28 ust. 3 Rozporządzenia (UE) 2016/679, powierza Zleceniobiorcy przetwarzanie danych medycznych pacjentów Administratora (dalej, jako „Dane Osobowe”) na potrzeby świadczenia Usług, do których realizacji Procesor zobowiązał się w Umowie głównej.
2. Procesor, jako podmiot przetwarzający przyjmuje Dane Osobowe do przetwarzania i zobowiązuje się je przetwarzać w imieniu Administratora na zasadach określonych w niniejszej umowie.
3. Na powierzone Zleceniobiorcy Dane Osobowe składają się następujące typy danych w szczególności
a. Dane o stanie zdrowia
b. Dane kontaktowe
4. Procesor jest uprawniony do wykonywania na Danych Osobowych wszelkich zautomatyzowanych lub niezautomatyzowanych operacji przetwarzania uzasadnionych i niezbędnych dla realizacji Usług, które mogą obejmować x.xx.: zbieranie, utrwalanie, organizowanie, porządkowanie, aktualizację, przechowywanie, archiwizowanie, modyfikowanie, pobieranie, kopiowanie, przeglądanie, wykorzystywanie, udostępnianie, usuwanie lub niszczenie.
4. Procesor jest uprawniony do przetwarzania Danych Osobowych wyłącznie w celach związanych z realizacją Usług świadczonych Administratora na podstawie Umowy głównej.
5. Administrator oświadcza, że spełnił wszelkie warunki legalności przetwarzania Danych Osobowych.
6. Administrator powierza Zleceniobiorcy przetwarzanie Danych Osobowych w jego imieniu przez okres obowiązywania niniejszej umowy.
7. W celu zapewnienia prawidłowej realizacji niniejszej umowy Strony poniżej wyznaczają osoby właściwe do kontaktu w sprawach związanych z wykonaniem tej umowy, po jednej osobie z każdej ze Stron oraz ich zastępców w przypadku nieobecności (Rekomendowane jest wskazanie poniżej takich osób z wskazaniem ich imienia, nazwiska oraz danych kontaktowych w celu zapewnienia kontroli nad komunikacją pomiędzy stronami w sprawach związanych z ochroną danych np. dotyczącą zgłaszania naruszeń ochrony danych):
a. Osoby kontaktowe po stronie Administratora
1 jako główna osoba kontaktowa
2 jako osoba zastępująca
b. Osoby kontaktowe po stronie Procesora
1. Xxxxxxxxx Xxxxxxxxxxx, xxxxxxxxx.xxxxxxxxxxx@xxxxx.xxx i jednocześnie Xxxxxxxxx Xxxxxxxxxxxx-Xxxxxxxxxx, xxxxxxxxx.xxxxxxxxxxxx-xxxxxxxxxx@xxxxx.xxx– jako główne osoby kontaktowe
2. Xxxxx Xxxxx, 224815505, Xxxxx.xxxxx@xxxxx.xxx – jako osoba zastępująca
§ 4
Dalsze powierzenie przetwarzania danych
1. Procesor jest uprawniony do korzystania z usług innego podmiotu przetwarzającego w trakcie realizacji przetwarzania Danych Osobowych na podstawie niniejszej umowy, pod warunkiem poinformowania Administratora o każdym planowanym dalszym powierzeniu przetwarzania Danych Osobowych oraz o wszelkich zamierzonych zmianach dotyczących takich innych podmiotów przetwarzających, w szczególności o zastąpieniu dotychczasowego podmiotu przetwarzającego przez innego usługodawcę lub o rezygnacji z usług innego podmiotu przetwarzającego, oraz z zastrzeżeniem ust. 2.
2. Administrator jest uprawniony do wyrażenia sprzeciwu wobec dalszego powierzenia przetwarzania Danych Osobowych usługodawcy wskazanemu przez Procesora w terminie 7 dni od otrzymania od Zleceniobiorcy informacji o planowanym dalszym powierzeniu ich przetwarzania innemu podmiotowi przetwarzającemu lub o zastąpieniu dotychczasowego podmiotu przetwarzającego przez innego usługodawcę. W przypadku złożenia sprzeciwu przez Zleceniodawcę dalsze powierzenie przetwarzania Danych Osobowych przez Procesora podmiotowi objętemu sprzeciwem jest niedopuszczalne.
3. Procesor jest zobowiązany zapewnić, iż inny podmiot przetwarzający, z którego usług zamierza korzystać przy przetwarzaniu Danych Osobowych daje wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Rozporządzenia (UE) 2016/679 i chroniło prawa osób, których dane dotyczą.
4. Dalsze powierzenie czynności przetwarzania innemu podmiotowi przetwarzającemu, o którym mowa w § 4 ust. 1, jest możliwe jedynie pod warunkiem nałożenia przez Procesora na ten inny podmiot przetwarzający na mocy umowy tych samych obowiązków ochrony danych, jakie spoczywają na Zleceniobiorcy w ramach niniejszej umowy, w szczególności
obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom art. 32 Rozporządzenia (UE) 2016/679.
5. W przypadku, gdy powierzenie przetwarzania Danych Osobowych innemu podmiotowi przetwarzającemu przez Procesora wiąże się z transferem tych danych do państwa trzeciego, które nie zapewnia odpowiedniego poziomu ochrony danych osobowych na swoim terytorium i jednocześnie brak jest innych podstaw umożlwiających transfer Danych Osobowych do tego państwa trzeciego, Administrator podpisze z podmiotem przetwarzającym zlokalizowanym w takim państwie trzecim umowę zawierającą:
a. „Standardowe Klauzule Umowne” przyjęte na mocy Decyzji Komisji 2010/87/EU z dnia 5 lutego 2010 r. w sprawie przekazywania danych osobowych z krajów Unii Europejskiej do procesorów z państw trzecich, bądź
b. „Standardowe Klauzule Ochrony Danych” przyjęte zgodnie z art. 46 ust. 2 lit c i d Rozporządzenia (UE) 2016/679,
lub upoważni na piśmie Procesora do podpisania wyżej wskazanej umowy w jego imieniu. Zawarcie takiej umowy z podmiotem przetwarzającym zlokalizowanym w państwie trzecim uprawnia Procesora do korzystania z usług tego podmiotu przetwarzającego przy przetwarzaniu Danych Osobowych.
7. Umowa, wskazana w ust. 6 i ust. 7 powyżej zawierana jest w formie pisemnej. Wymóg pisemności umowy spełnia umowa zawarta w formie elektronicznej.
8. Procesor ponosi wobec Administratora pełną odpowiedzialność za niewywiązanie się innego podmiotu
przetwarzającego, któremu powierzył przetwarzanie Danych Osobowych, ze spoczywających na nim obowiązków ochrony danych. W takim przypadku Administrator ma prawo żądać zaprzestania korzystania przez Procesora z usług tego podmiotu w procesie przetwarzania Danych Osobowych.
§ 5
Obowiązki Zleceniobiorcy
1. Procesor jest obowiązany przetwarzać Dane Osobowe wyłącznie na udokumentowane polecenie Administratora, co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, przy czym za udokumentowane polecenie Administratora uważa się polecenia przekazywane drogą elektroniczną lub na piśmie. Powyższy obowiązek nie dotyczy sytuacji, gdy wymóg przetwarzania Danych Osobowych nakłada na Procesora prawo Unii Europejskiej lub prawo lub prawo kraju jego siedziby. W takim przypadku przed rozpoczęciem przetwarzania Procesor poinformuje Zleceniodawcę o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
2. Procesor jest odpowiedzialny za ochronę powierzonych mu do przetwarzania Danych Osobowych.
3. Procesor podejmuje wszelkie środki wymagane na mocy art. 32 Rozporządzenia (UE) 2016/679 w celu zapewnienia bezpieczeństwa Danych Osobowych.
4. Procesor zapewnia, by osoby upoważnione przez niego do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy Danych Osobowych i środków ich zabezpieczenia zarówno w okresie obowiązywania niniejszej umowy, jaki i po jej rozwiązaniu.
5. Procesor przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w § 4 niniejszej umowy.
6. Na żądanie Administratora, Procesor poinformuje Zleceniodawcę o lokalizacji przetwarzania Danych Osobowych przez Procesora oraz inne podmioty przetwarzające, o których mowa w § 4 niniejszej umowy.
7. Procesor, biorąc pod uwagę charakter przetwarzania, jest obowiązany w miarę możliwości pomagać Administratora poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia (UE) 2016/679, w szczególności Procesor jest zobowiązany poinformować Zleceniodawcę o wszelkich otrzymanych pytaniach lub żądaniach osób, których dotyczą Dane Osobowe (podmiotów danych). Przekazanie przez Procesora wyżej wskazanych informacji następuje niezwłocznie, ale nie później niż w terminie 3 dni od otrzymania pytania lub żądania od podmiotu danych. Procesor nie jest uprawniony do samodzielnego – w szczególności bez konsultacji ze Zleceniodawcą – udzielania odpowiedzi na pytania i podejmowania działań w związku z żądaniami podmiotów danych.
8. Procesor, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratora wywiązać się z obowiązków określonych w art. 32–36 Rozporządzenia (UE) 2016/679.
9. Procesor jest obowiązany udostępnić Administratora wszelkie informacje niezbędne do wykazania, iż spełnia obowiązki określone w niniejszym paragrafie umowy oraz umożliwia Administratora lub upoważnionemu przez niego audytorowi przeprowadzanie audytów, o których mowa w § 6 niniejszej umowy i przyczynia się do nich.
10. W związku z obowiązkiem określonym w ust. 9 powyżej Procesor niezwłocznie poinformuje Zleceniodawcę, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie Rozporządzenia (UE) 2016/679 lub innych przepisów Unii Europejskiej lub kraju jego siedziby w zakresie ochrony danych osobowych.
11. Procesor niezwłocznie poinformuje Zleceniodawcę o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania Danych Osobowych przez Procesora, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania Danych Osobowych, skierowanej do Zleceniobiorcy, a także o wszelkich czynnościach kontrolnych podjętych wobec niego przez organ nadzorczy oraz o wynikach takiej kontroli, jeżeli jej zakresem objęto Dane Osobowe powierzone Zleceniobiorcy na podstawie niniejszej umowy.
12. Procesor po stwierdzeniu naruszenia ochrony Danych Osobowych jest zobowiązany bez zbędnej zwłoki zgłosić je Administratora wskazując w zgłoszeniu:
a. charakter naruszenia ochrony Danych Osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów Danych Osobowych, których dotyczy naruszenie;
b. opis możliwych konsekwencji naruszenia ochrony Danych Osobowych;
c. opis środków zastosowanych lub proponowanych przez Procesora w celu zaradzenia naruszeniu ochrony Danych Osobowych, w tym opis działań podjętych w celu zminimalizowania ewentualnych negatywnych skutków naruszenia.
§ 6
Prawo audytu
1. Administrator jest uprawniony do przeprowadzenia audytu przetwarzania Danych Osobowych w zakresie niniejszej Umowy w celu zweryfikowania, czy Procesor spełnia obowiązki określone w § 5 niniejszej umowy.
2. Strony ustalają następujące zasady prowadzenia audytu, o którym mowa w ust. 1 powyżej:
a. Audyt może polegać zarówno na żądaniu przedstawienia dokumentów oraz informacji dotyczących przetwarzania danych, jak i na czynnościach kontrolnych prowadzonych w miejscu przetwarzania danych w trakcie dni roboczych (rozumianych jako dni od poniedziałku do piątku, z wyłączeniem sobót i świąt) w godzinach od 10:00 do 16:00, po uprzednim poinformowaniu Zleceniobiorcy drogą elektroniczną na adres e- mail: xxxxxxxxx.xxxxxxxxxxx@xxxxx.xxx o terminie audytu i jego zakresie, co najmniej na 14 dni przed rozpoczęciem audytu.
b. Administrator prowadzi audyt osobiście lub za pośrednictwem niezależnych audytorów zewnętrznych, którzy zostali upoważnieniu przez Administratora do przeprowadzenia audytu w jego imieniu.
3. Czynności kontrolne prowadzone w toku audytu, o których mowa w § 6 ust. 2 lit. a, mogą polegać w szczególności na sporządzaniu:
a. notatek z przeprowadzonych czynności (w szczególności notatek z odebranych wyjaśnień i przeprowadzonych oględzin),
b. kopii dokumentów dotyczących przetwarzania Danych Osobowych,
c. wydruków Danych Osobowych z systemów informatycznych,
d. wydruków kopii obrazów wyświetlanych na ekranach urządzeń wchodzących w skład systemów informatycznych wykorzystywanych do przetwarzania Danych Osobowych,
e. kopii zapisów rejestrów systemów informatycznych,
f. zapisów konfiguracji technicznych środków zabezpieczeń systemów informatycznych, w których odbywa się przetwarzanie Danych Osobowych.
4. Administrator dostarcza Zleceniobiorcy kopię raportu z przeprowadzonego audytu. W przypadku stwierdzenia w toku audytu niezgodności działań Zleceniobiorcy z niniejszą umową lub przepisami o ochronie danych osobowych, do których stosowania Procesor jest obowiązany, Procesor niezwłocznie zapewni zgodność przetwarzania Danych Osobowych z postanowieniami umowy lub przepisami, których naruszenie stwierdzono w raporcie z audytu.
§ 7
Odpowiedzialność Stron
1. Procesor odpowiada za szkody, jakie powstaną u Administratora lub osób trzecich w wyniku niezgodnego z niniejszą umową przetwarzania przez Procesora Danych Osobowych.
2. W przypadku niewykonania lub nienależytego wykonania przez Procesora niniejszej umowy, Procesor zobowiązuje się do zapłaty odszkodowania na zasadach ogólnych.
§ 8
Postanowienia końcowe
1. Niniejsza umowa zostaje zawarta na czas obowiązywania Umowy głównej.
2. Wypowiedzenie Xxxxx głównej skutkuje równoczesnym wypowiedzeniem niniejszej umowy.
3. W przypadku, gdy wyniki audytu, o którym mowa w § 6 niniejszej umowy lub kontroli przeprowadzonej przez organ nadzoru u Zleceniobiorcy lub innego podmiotu przetwarzającego, któremu Procesor powierzył przetwarzanie Danych Osobowych wykażą, iż Procesor w sposób zawiniony naruszył postanowienia niniejszej umowy, lub w przypadku nieuwzględnienia przez Procesora żądania, o którym mowa w § 4 ust. 7 niniejszej umowy, Administrator jest uprawniony do rozwiązania tej umowy ze skutkiem natychmiastowym.
4. W przypadku rozwiązania niniejszej umowy, Procesor zależnie od decyzji Administratora usuwa lub zwraca Administratora powierzone Dane Osobowe, w tym wszelkie nośniki zawierające Dane Osobowe oraz niezwłocznie i nieodwracalnie niszczy wszelkie kopie dokumentów i zapisów na wszelkich nośnikach, zawierających Dane Osobowe
– jeśli nośniki te nie podlegają zwrotowi do Administratora, chyba że prawo Unii Europejskiej lub prawo kraju siedziby Zleceniobiorcy nakazują Zleceniobiorcy dalsze przechowywanie Danych Osobowych. W takim przypadku za przetwarzanie w/w danych po rozwiązaniu niniejszej umowy Procesor odpowiada jak administrator.
5. Procesor jest obowiązany niezwłocznie wykonać obowiązek, o którym mowa w ust. 4 powyżej, nie później jednak niż w terminie 14 dni od rozwiązania niniejszej umowy, jak również poinformować o tym Zleceniodawcę na piśmie w terminie 3 dni od jego wykonania.
6. Wszelkie zmiany lub uzupełnienia w niniejszej umowie wymagają zachowania formy pisemnej pod rygorem nieważności.
7. W kwestiach nieuregulowanych niniejszą umową mają zastosowanie przepisy Kodeksu Cywilnego oraz Rozporządzenia (UE) 2016/679.
8. Wszelkie spory wynikłe ze stosunku prawnego objętego niniejszą umową rozpatrywane będą przez sąd właściwy dla siedziby Administratora.
9. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.