o powierzeniu przetwarzania danych osobowych (dalej: Porozumienie)
Załącznik nr 5 do ogłoszenia o konkursie
Porozumienie
o powierzeniu przetwarzania danych osobowych (dalej: Porozumienie)
zawarte w dniu ……… roku pomiędzy:
Samodzielnym Publicznym Zakładem Opieki Zdrowotnej z siedzibą w Prażmowie przy ul. Xxxxxxxxx Xxxxxxxxxxx 0, 00-000 Xxxxxxx (dalej: SPZOZ w Prażmowie)
KRS 0000256891 NIP 1230880904 REGON 016075066
Zwanym w dalszej części Porozumienia „Administratorem” reprezentowanym przez: Xxxxxxxx Xxxxxxxxxx – Dyrektora a
……...
Zwanym w dalszej części porozumienia „Podmiotem przetwarzającym”
reprezentowaną przez:…..
§ 1
Oświadczenia stron
1. Administrator oświadcza, że jest Administratorem Danych Osobowych w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: Rozporządzenie), w stosunku do danych powierzonych Podmiotowi przetwarzającemu.
2. Podmiot przetwarzający oświadcza, że dysponuje odpowiednimi środkami, w tym należytymi zabezpieczeniami, które umożliwiają przetwarzanie danych osobowych.
3. Podmiot przetwarzający oświadcza, że przygotował stosowną dokumentację niezbędną do prawidłowego przetwarzania danych osobowych i wymaganą przez Rozporządzenie.
§ 2
Powierzenie przetwarzania danych osobowych
1. W związku z zawarciem i realizacją Umowy nr … z dnia ……… r., dotyczącej wykonywania badań laboratoryjnych (dalej: Umowa),Administrator powierza Podmiotowi Przetwarzającemu:
1) dane osobowe Pacjentów na rzecz których wykonywane są badania laboratoryjne na podstawie Umowy, (dalej: Dane Osobowe Pacjentów) w zakresie takich danych, jak:
a) nazwisko i imię (xxxxxx),
b) data urodzenia,
c) oznaczenie płci,
d) adres miejsca zamieszkania
e) numer PESEL, jeżeli jest nadany, w przypadku noworodka – numer PESEL matki, a w przypadku osób, które nie mają nadanego numeru PESEL – rodzaj i numer dokumentu potwierdzającego tożsamość,
f) w przypadku gdy pacjentem jest osoba małoletnia, całkowicie ubezwłasnowolniona lub niezdolna do samodzielnego wyrażenia zgody – nazwisko i imię (xxxxxx) przedstawiciela ustawowego oraz adres jego miejsca zamieszkania,
g) numer identyfikacyjny pacjenta podawany przy braku innych danych,
h) rozpoznanie ustalone przez osobę kierującą,
i) inne informacje lub dane, w zakresie niezbędnym do przeprowadzenia badania,
j) numer telefonu
k) adres e-mail
l) dane osobowe Personelu Administratora, upoważnionego do wykonywania zadań związanych z realizacją Umowy (dalej: Xxxx Xxxxxxx Personelu), tj.:dane osobowe lekarzy (imię i nazwisko lekarza kierującego, tytuł zawodowy, uzyskane specjalizacje, numer prawa wykonywania zawodu, adres zamieszkania, numer telefonu, adres e-mail)
2. Zakres danych osobowych wymienionych w ust. 1 i 2 jest maksymalnym katalogiem danych, które mogą być przetwarzane w związku z realizacją Umowy. W rzeczywistości dane mogą być przekazywane przez Administratora w mniejszym zakresie bez uszczerbku dla postanowień Porozumienia. Zakres danych może ulec zmianie w przypadku zmiany aktualnie obowiązujących przepisów prawa.
3. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane Osobowe Pacjentów i Dane Osobowe Personelu zgodnie z poleceniem Administratora, przestrzegając:
- postanowień Porozumienia,
- obowiązujących przepisów regulujących kwestię ochrony danych osobowych, w szczególności Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
§ 3
Zakres i cel przetwarzania danych
Administrator upoważnia Podmiot przetwarzający do przetwarzania w jego imieniu Danych Osobowych Pacjentów oraz Danych Osobowych Personelu w celu i zakresie niezbędnym do realizacji postanowień Umowy, w szczególności w zakresie dostępu, przechowywania i opracowywania danych dla celów związanych z wykonywaniem zleconych badań laboratoryjnych.
§ 4
Obowiązki Podmiotu Przetwarzającego
1. Podmiot przetwarzający zobowiązuje się:
a) stosować środki techniczne i organizacyjne zapewniające ochronę powierzonych danych, a w szczególności zabezpieczyć dane przed ich udostępnieniem osobą nieupoważnionym, utratą, uszkodzeniem lub zniszczeniem,
b) przetwarzać powierzone dane osobowe zgodnie z niniejszym Porozumieniem, ustawą o ochronie danych osobowych, Rozporządzeniem i innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą,
c) nadać upoważnienia do przetwarzania danych wskazanych w § 1 ust. 1 Porozumienia wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji Porozumienia i Umowy,
d) prowadzić ewidencję osób uprawnionych do przetwarzania danych osobowych,
e) zapewnić zachowanie w tajemnicy przetwarzane dany oraz sposoby ich zabezpieczenia przez osoby mające upoważnienia do przetwarzania danych, zarówno w trakcie zatrudnienia Podmiocie przetwarzającym, jak i po ustaniu zatrudnienia lub współpracy
2. Podmiot przetwarzający pomaga Administratorowi:
a) w miarę swoich możliwości wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia (Prawa osoby, której dane dotyczą),
b) w wywiązywaniu się z obowiązków określonych w art. 32-36 Rozporządzenia, w szczególności w przypadku stwierdzenia naruszania zasad ochrony i przetwarzania powierzonych danych osobowych na podstawie Porozumienia, zgłasza je Administratorowi niezwłocznie, jednak nie później niż w terminie 48 godzin od chwili stwierdzenia naruszenia.
3. Po zakończeniu okresu trwania umowy Podmiot Przetwarzający jest zobowiązany do usunięcia lub zwrotu Administratorowi powierzonych danych osobowych, oraz zniszczenia istniejących kopii o ile przepisy prawa powszechnie obowiązującego nie stanowią inaczej.
4. Po zakończeniu okresu trwania umowy Podmiot przetwarzający złoży Administratorowi pisemne oświadczenie potwierdzające trwałe usunięcie wszystkich danych.
§ 5
Prawo do kontroli
1. Administrator ma prawo kontroli czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu danych spełniają postanowienia Porozumienia i Rozporządzenia.
2. Podmiot przetwarzający na pisemny wniosek Administratora zobowiązany jest do udzielenia pisemnej informacji dotyczącej przetwarzania powierzonych mu danych osobowych w terminie 14 dni od dnia otrzymania wniosku.
3. Administrator ma prawo do faktycznej weryfikacji sposobu przetwarzania danych osobowych wskazanych w § 1 ust. 1 Porozumienia, w sposób każdorazowo ustalony przez Strony, po zgłoszeniu zamiaru takiej weryfikacji przez Administratora z wyprzedzeniem minimum 14 dni.
4. Podmiot przetwarzający udostępni Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązku określonego w art. 28 Rozporządzenia.
5. Po stwierdzeniu naruszeń niniejszego Porozumienia przez Administratora Podmiot przetwarzający jest zobowiązany do ich usunięcia w terminie i w sposób ustalony przez Strony.
§ 6
Podpowierzenie
1. Podmiot przetwarzający może posługiwać się podwykonawcami w celu należytego wykonania postanowień Porozumienia, jedynie po uzyskaniu pisemnej zgody Administratora.
2. Podmiot przetwarzający jest zobowiązany do zapewnienia, że podwykonawca wdrożył odpowiednie środki organizacyjne i techniczne , aby przetwarzanie danych odbywało się w sposób zapewniający bezpieczeństwo i odpowiadało wymogą aktualnie obowiązujących przepisów prawa w zakresie ochrony danych osobowych
3. Podmiot przetwarzający ponosi odpowiedzialność wobec Administratora za naruszenie postanowień niniejszego Porozumienia przez podwykonawców.
§ 7
Odpowiedzialność
1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Porozumienia.
2. Podmiot przetwarzający odpowiada za wszelkie szkody, które powstały w związku z nienależytym przetwarzaniem powierzonych danych osobowych.
3. Podmiot przetwarzający jest zobowiązany informować Administratora o czynnościach kontrolnych dotyczących przetwarzania powierzonych danych osobowych prowadzonych przez uprawnione organy , oraz o wynikach tych kontroli.
§ 8
Czas obowiązywania Porozumienia
1. Porozumienie obowiązuje przez okres trwania Umowy
2. W każdym wypadku Porozumienie przestaje Strony obowiązywać z dniem, z którym przestają być związane postanowieniami Umowy.
3. Administrator ma prawo rozwiązać niniejsze Porozumienie w trybie natychmiastowym, gdy Podmiot przetwarzający:
a) wykorzystał dane osobowe w sposób niezgodny z niniejszym Porozumieniem
b) powierzył przetwarzanie danych podwykonawcą bez zgody Administratora
c) nie zaprzestanie niewłaściwego przetwarzania danych osobowych
d) zawiadomi o swojej niezdolności do dalszego wykonywania niniejszego porozumienia.
§ 9
Poufność
1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
2. Podmiot przetwarzający oświadcza, że z zastrzeżeniem § 6 Porozumienia, w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonywanie Umowy lub Porozumienia, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Porozumienia.
3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych, w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią
§ 10
Postanowienia końcowe
1. Wszelkie zmiany niniejszego Porozumienia powinny być dokonane w formie pisemnej pod rygorem nieważności.
2. W zakresie nieuregulowanym niniejszym Porozumieniem zastosowanie mają przepisy Kodeksu cywilnego.
3. W przypadku gdy niniejsze Porozumienie odwołuje się do przepisów prawa, oznacza to również inne przepisy dotyczące ochrony danych osobowych, a także wszelkie nowelizacje, jakie wejdą w życie po dniu zawarcia niniejszego Porozumienia, jak również akty prawne, które zastąpią wskazane ustawy i rozporządzenia.
4. Porozumienie sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.