Umowa powierzenia przetwarzania danych osobowych
Umowa powierzenia przetwarzania danych osobowych
Nr P/2021/…..
zawarta dnia r. pomiędzy:
Szpitalem Chorób Płuc im. Św. Xxxxxx w Pilchowicach z siedzibą przy ul. Xxxxxxxxx 00, 00-000 Xxxxxxxxxx, NIP: 9691162275, REGON: 276215293, KRS: 0000050139
zwanym dalej „Administratorem”
reprezentowanym przez:
lek. xxx. Xxxxxx Xxxxxxxx - Xxxxxxxxx – Dyrektora Szpitala
a
……………………………………………
……………………………………………..
zwanym dalej „Podmiotem przetwarzającym”
reprezentowanym przez:
§ 1
Powierzenie przetwarzania danych osobowych
1. Administrator powierza Podmiotowi przetwarzającemu w trybie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej Umowie.
2. Administrator oświadcza, że jest Administratorem danych, które powierza Podmiotowi przetwarzającemu do przetwarzania.
3. Administrator zapewnia, że posiadane i przekazywane Podmiotowi przetwarzającemu dane osobowe do przetwarzania, zostały zgromadzone zgodnie z obowiązującymi przepisami prawa.
4. Powierzający powierza Procesorowi przetwarzanie danych osobowych w zakresie określonym w niniejszej umowie.
§ 2
Przedmiot i cel przetwarzania danych
1. Podmiot przetwarzający będzie przetwarzał, powierzone na podstawie umowy, następujące dane osobowe pacjentów Administratora w zakresie: imienia i nazwiska, numeru PESEL, dane dotyczące zdrowia.
2. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu realizacji umowy głównej nr ……z dnia ………r. dotyczącej świadczenia przez Podmiot przetwarzający usługi farmaceutycznej polegającej na przygotowaniu i dostawie leków cytostatycznych w sposób zgodny z treścią umowy i jedynie przez czas jej trwania.
3. Podmiot przetwarzający będzie przetwarzał dane zwykłe i szczególne kategorie danych w formie papierowej i przy wykorzystaniu systemu informatycznego poprzez wykonywanie takich operacji jak: utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
4. Zmiana przedmiotu, czasu trwania przetwarzania, charakteru i celu przetwarzania, rodzaju danych, kategorii osób, których dane dotyczą, może zostać dokonana jedynie w drodze zmiany niniejszej umowy.
§ 3
Sposób wykonania umowy w zakresie przetwarzania danych osobowych
1. Miejscem wykonywania umowy jest siedziba oraz biura Podmiotu przetwarzającego, a także siedziba Administratora.
2. Podmiot przetwarzający oświadcza, że zgodnie z powszechnie obowiązującymi przepisami prawa wdrożył i stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Przede wszystkim:
• Podmiot przetwarzający prowadzi dokumentację opisującą sposób przetwarzania danych osobowych poprzez wdrożenie odpowiednich polityk;
• Podmiot przetwarzający prowadzi rejestr wszystkich kategorii czynności przetwarzania danych;
• znajdujące się w posiadaniu Podmiotu przetwarzającego urządzenia i systemy informatyczne służące do przetwarzania danych osobowych zapewniają odpowiedni poziom bezpieczeństwa ustalony po przeprowadzeniu oceny skutków dla ochrony danych i uprzednich konsultacji z organem nadzorczym;
• Podmiot przetwarzający nadał upoważnienia osobom dopuszczonych do przetwarzania danych osobowych;
• Podmiot przetwarzający stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, a w szczególności zabezpiecza dane osobowe przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, w stosownym przypadku pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnianie poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
3. Podmiot przetwarzający będzie wspomagał Administratora poprzez zastosowanie odpowiednich środków technicznych i organizacyjnych w wywiązaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw.
4. Podmiot przetwarzający będzie wspomagał Administratora w wywiązaniu się z obowiązku zgłaszania naruszeń ochrony danych organowi nadzorczemu i zawiadamiania o nich osoby, której dane dotyczą. Przetwarzający dokona zgłoszenia administratorowi niezwłocznie po stwierdzeniu naruszenia ochrony danych osobowych w sposób umożliwiający uzyskanie informacji takich, jak charakter naruszenia, możliwe kategorie i przybliżoną liczbę osób, których dane dotyczą, kategorię i przybliżona liczbę wpisów danych osobowych, których dotyczy naruszenie, możliwe konsekwencje naruszenia, środki zastosowane w celu zaradzenia naruszeniu.
5. Podmiot przetwarzający będzie wspomagał Administratora w wywiązaniu się z przeprowadzania oceny skutków dla ochrony danych, zwłaszcza w przypadku systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu i jest podstawa decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną, dotyczy przetwarzania na dużą skalę szczególnych kategorii danych osobowych.
6. Podmiot przetwarzający będzie wspomagał Administratora w wywiązaniu się z uprzednich konsultacji z organem nadzorczym, zwłaszcza w przypadku, gdy przetwarzanie spowodowałoby wysokie ryzyko.
7. Podmiot przetwarzający nie będzie korzystał z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgodny Administratora. W przypadku ogólnej pisemnej zgodny Podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmiany dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dać tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian. Podmiot przetwarzający zobowiązany jest w przypadku wyrażenia zgody przez Administratora zawarcia umowy powierzenia z podmiotem, z którego usług będzie korzystać, o treści i zakresie jak najbardziej zbliżonym do niniejszej Umowy i przekazać jej kopię Administratorowi.
8. W przypadku skorzystania z usług innego podmiotu, Podmiot przetwarzający zobowiązuje się do zapewniania, iż inny podmiot nie będzie przetwarzał danych osobowych powierzonych przez Administratora w celu i zakresie szerszym niż wynikający z niniejszej Umowy i zobowiązany będzie do zachowania wszelkich wymagań określonych w niniejszej Umowie.
9. Podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba, że taki obowiązek nakłada na Podmiot przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
10.Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą umową, przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
§ 4
Odpowiedzialność
1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
2. Podmiot przetwarzający ponosi odpowiedzialność za przetwarzanie danych osobowych udostępnionych mu na podstawie niniejszej umowy, w tym za przekroczenie zakresu przetwarzania danych osobowych lub przetwarzanie danych osobowych w celu innym niż to wynika z niniejszej umowy.
3. Podmiot przetwarzający jest do powiadomienia Administratora o naruszeniu w ciągu 48 godzin od jego wykrycia.
4. Strony zobowiązują się powiadomić niezwłocznie o:
a. wszczęciu kontroli lub postępowania administracyjnego przez Organ nadzorczy, w odniesieniu do danych osobowych powierzonych na podstawie niniejszej Umowy,
b. wydanych przez Organ nadzorczy decyzjach administracyjnych i rozpatrywanych skargach w zakresie wykonywania przez Podmiot przetwarzający przepisów o ochronie danych osobowych dotyczących powierzonych danych,
c. innych działaniach uprawnionych organów wobec powierzonych danych osobowych,
d. innych zdarzeniach mających lub mogących mieć wpływ na przetwarzanie powierzonych danych osobowych, w szczególności o wszystkich przypadkach naruszenia powierzonych danych osobowych,
e. złożeniu jakiejkolwiek skargi, żądania, pytania oraz innych oświadczeń osób fizycznych, których dane osobowe przetwarza na podstawie niniejszej Umowy.
§ 5
Czas obowiązywania umowy
1. Niniejsza umowa obowiązuje od dnia zawarcia na czas trwania umowy głównej, o której mowa w par. 2 ust. 2 z uwzględnieniem aneksów do umowy głównej.
2. Strony mogą wypowiedzieć niniejszą umowę z zachowaniem jednomiesięcznego okresu wypowiedzenia, z zastrzeżeniem ust. 3.
3. Strony mają prawo wypowiedzenia umowę w terminie natychmiastowym, w przypadku powzięcia informacji, że Podmiot przetwarzający przetwarza dane osobowe w sposób niezgodny z niniejszą umową lub z naruszeniem obowiązujących przepisów prawa.
§ 6
Prawo do kontroli
1. Niezależnie od pozostałych postanowień niniejszej Umowy, Podmiot przetwarzający podczas realizacji niniejszej Umowy, zobowiązany jest do informowania Administratora o wszelkich okolicznościach mających lub mogących mieć wpływ na bezpieczeństwo powierzonych danych osobowych.
2. W uzasadnionych przypadkach Podmiot przetwarzający zobowiązuje się do przekazania, na pisemne żądanie Administratora informacji dotyczących przetwarzania powierzonych danych.
3. W uzasadnionych przypadkach Podmiot przetwarzający zobowiązuje się na pisemne żądanie Administratora poddać się audytowi w zakresie realizacji obowiązków wynikających z niniejszej Umowy oraz przepisów o ochronie danych osobowych.
4. W przypadkach tego wymagających, Podmiot przetwarzający zobowiązuje się do umożliwienia przeprowadzenia przez Organ nadzorczy kontroli zgodności przetwarzania danych osobowych z przepisami prawa.
§ 7
Zwrot lub usunięcie powierzonych danych osobowych
1. Podmiot przetwarzający, w przypadku rozwiązania niniejszej umowy po uzyskaniu dyspozycji od Administratora niezwłocznie, ale nie później niż w terminie 14 dni kalendarzowych, zobowiązuje się zwrócić lub usunąć wszelkie dane osobowe, których przetwarzanie zostało mu powierzone, w tym skutecznie usunąć je również z nośników elektronicznych pozostających w jego dyspozycji.
2. Zobowiązanie, o którym mowa w ust. 1 nie ma zastosowania w sytuacji, gdy obowiązek dalszego przetwarzania danych osobowych wynika z przepisów obowiązującego prawa.
§ 8
Zasady zachowania poufności
1. Strony zobowiązują się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych uzyskanych w jakikolwiek sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
2. Strony zapewniają, że osoby upoważnione przez nich do przetwarzania danych osobowych zobowiązane zostały do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
3. Strony oświadczają, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywały, ujawniały ani udostępniały bez pisemnej zgody w celu innym niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa.
4. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych osobowych powierzonych do przetwarzania przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
§ 9
Postanowienia końcowe
1. W sprawach, które nie zostały uregulowane w niniejszej umowie, mają zastosowanie odpowiednie przepisy prawa.
2. Wszelkie zmiany niniejszej umowy wymagają zachowania formy pisemnej pod rygorem nieważności.
3. Niniejszą umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
Podpis (i pieczątka) Podpis i pieczątka
reprezentanta Podmiotu przetwarzającego reprezentanta Administratora