Załącznik nr 5 do Umowy nr …………
Załącznik nr 5 do Umowy nr …………
W przypadku, gdy w ramach wykonywania umowy podstawowej zaistnieje konieczność lub prawdopodobieństwo uzyskania przez Wykonawcę dostępu do danych osobowych, Strony zawrą niniejszą Umowę o powierzenie przetwarzania danych osobowych, w której określą zakres i cel powierzonego Wykonawcy przetwarzania takich danych osobowych.
Umowa będzie zawarta przez Strony przed udostępnieniem pierwszych danych osobowych.
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH WZÓR
zawarta w dniu ……...…- …-2023 roku w Warszawie pomiędzy:
Narodowym Instytutem Onkologii im. Xxxxx Xxxxxxxxxxxx – Curie - Państwowym Instytutem Badawczym z siedzibą w Warszawie, adres: 00-000 Xxxxxxxx, xx. W. K. Xxxxxxxxx 0, wpisanym do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla x.xx. Warszawy, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS 0000144803, NIP 000- 000-00-00, Regon 000288366, zwanym dalej „Administratorem” lub „Powierzającym”,
w imieniu którego działa, należycie umocowany:
…………………………………………………………………………………………………………….. a
............................................................................................................,
wpisaną/wpisanym do:
- Rejestru ……………………. Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy w……………., ……… Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS .........., NIP ,
Regon ……… wysokość kapitału zakładowego PLN*
…………., prowadzącą/prowadzącym działalność gospodarczą pod firmą , adres prowadzenia
działalności , wpisaną/wpisanym do Centralnej Ewidencji i Informacji o Działalności Gospodarczej,
NIP …................, Regon *,
zwaną/zwanym dalej „ Przetwarzającym”, w imieniu którego działa należycie umocowany:
.........................................................................................................................................
Mając na uwadze, że:
• Strony zawarły umowę nr („Umowa Podstawowa”).
• Celem niniejszej umowy (dalej „Umowa”) jest ustalenie warunków, na jakich Przetwarzający wykonuje operacje przetwarzania Danych Osobowych w imieniu i na zlecenie Administratora;
• Strony zawierają Umowę dążą do takiego uregulowania zasad przetwarzania Danych Osobowych, aby odpowiadały one w pełni postanowieniom rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem
danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1).
W niniejszej Umowie poniższe wyrażenia otrzymują następujące znaczenia:
Przetwarzający – podmiot, któremu Administrator powierza przetwarzanie danych osobowych na mocy niniejszej umowy.
Podprzetwarzajacy – podmiot któremu Przetwarzający powierza dalsze przetwarzanie danych osobowych powierzonych do przetwarzania przez Administratora.
Xxxx Xxxxxxx – dane osobowe w rozumieniu Rozporządzenia dotyczące pacjentów i pracowników, udostępniane przez Zamawiającego Wykonawcy do przetwarzania.
Przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, przechowywanie, porządkowanie, adoptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, ograniczanie, usuwanie lub niszczenie.
Rozporządzenie (RODO) - rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r.
Ustawa - ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych ( Dz. U. z 2018 r. poz. 1000).
Xxxxxx postanowiły zawrzeć niniejszą umowę, o następującej treści:
1. Przedmiot Umowy
1.1 Na podstawie Umowy, Powierzający powierza Przetwarzającemu przetwarzanie dalej opisanych Danych Osobowych na warunkach określonych Umową i Umową Podstawową. Umowa stanowi umowę powierzenia przetwarzania danych osobowych, o której mowa w art. 28 ust. 3 RODO.
1.2 Celem powierzenia jest:
(1) świadczenie usługi doradczej w zakresie analizy kosztów procedur medycznych i leczenia poszczególnych pacjentów – jeśli dotyczy ;
(2) uruchomienie systemu bieżącego monitorowania wyznaczonego zakresu danych – jeśli dotyczy;
(3) świadczenie usługi serwisu technicznego ww. systemu – jeśli dotyczy;
(4) szkolenie pracowników Zamawiającego – jeśli dotyczy;
(5) kontakt z wyznaczonymi pracownikami Zamawiającego w zakresie niezbędnym do realizacji Umowy Podstawowej – jeśli dotyczy;
(6) inne.
1.3 Przetwarzanie danych osobowych będzie dotyczyć następujących kategorii osób – jeśli dotyczy:
(1) Pacjenci – jeśli dotyczy,
(2) Pracownicy i Współpracownicy Administratora - jeśli dotyczy,
(3) Kontrahenci zewnętrzni/zleceniodawcy – jeśli dotyczy, (4) inne.
1.4 W ramach Umowy przetwarzane będą dane osobowe (dalej „Dane Osobowe”), co obejmuje w szczególności następujące rodzaje danych – jeśli dotyczy:
(1) dane osobowe Pacjentów – jeśli dotyczy:
− ……………….,
− ……………….,
(2) dane pracowników/współpracowników Administratora – jeśli dotyczy:
− dane osobowe lekarzy lub innych osób uprawnionych do wystawiania
zlecenia na badania (imię i nazwisko lekarza kierującego, tytuł zawodowy, uzyskane specjalizacje, numer prawa wykonywania zawodu, login, adres e-mail, adres, numer NIP),
− …………………….;
(3) dane kontrahentów zewnętrznych/zleceniodawców – jeśli dotyczy:
− ………………….,
− …………………..
Zakres danych osobowych wymienionych powyżej jest maksymalnym katalogiem danych, które mogą być przetwarzane w związku z realizacją Umowy. W rzeczywistości dane mogą być przekazywane przez Administratora w mniejszym zakresie bez uszczerbku dla postanowień niniejszej umowy. Zakres danych może ulec zmianie w przypadku zmiany aktualnie obowiązujących przepisów prawa.
2. Okres obowiązywania Umowy
2.1 Z zastrzeżeniem pkt 10.3, Xxxxx zostaje zawarta na czas określony tj. od dnia zawarcia Umowy do upływu miesiąca po ustaniu Umowy Podstawowej .
2.2 Administrator może wypowiedzieć niniejszą Umowę ze skutkiem natychmiastowym w przypadku naruszenia przez Przetwarzającego postanowień Umowy, przepisów Ustawy lub Rozporządzenia, w szczególności w przypadku udostępniania Danych Osobowych osobom nieuprawnionym, a także w przypadku, gdy:
a) organy administracji państwowej odpowiedzialne za nadzór nad przestrzeganiem zasad przetwarzania danych osobowych stwierdzą, że Przetwarzający nie przestrzega tych zasad;
b) Administrator, w wyniku przeprowadzenia kontroli stwierdzi, że Przetwarzający nie przestrzega zasad przetwarzania Danych Osobowych lub przepisów Rozporządzenia;
c) Przetwarzający utrudnia lub uniemożliwia przeprowadzenie kontroli o której mowa w niniejszej umowie.
3. Obowiązki Przetwarzającego
3.1 Oprócz zgodności z regułami podanymi w Umowie, Przetwarzający zapewni zgodność z wymaganiami, o których jest mowa w Artykułach od 28 do 33 RODO. Przetwarzający w szczególności oświadcza, że wdrożył środki techniczne oraz organizacyjne, które są niezbędne do wykonania Umowy zgodnie z art. 32 RODO. Środki techniczne i organizacyjne, o których mowa w zdaniu poprzedzającym będą w szczególności zgodne z Artykułem 28 ust. 3 lit. c) oraz z art. 32 RODO w związku z Artykułem 5 ust. 1-2 RODO. Środki te związane są z bezpieczeństwem danych oraz i gwarantują poziom ochrony odpowiedni do ryzyka w zakresie poufności, integralności, dostępności oraz odporności Systemów, z uwzględnieniem poziomu techniki, kosztów wdrażania, charakteru, zakresu oraz celów przetwarzania a także prawdopodobieństwa wystąpienia oraz skali ryzyka dla praw oraz swobód osób fizycznych w rozumieniu Artykułu 32 Paragraf 1 RODO.
Środki techniczne oraz organizacyjne są przedmiotem postępu technicznego oraz dalszego rozwoju, wobec czego Przetwarzający może wdrażać adekwatne środki alternatywne. Jednakże w takim wypadku nie może mieć miejsca obniżenie poziomu bezpieczeństwa określonych środków.
3.2 Przetwarzający informuje, iż powołał Inspektora Ochrony Danych, z którym można skontaktować się : tel. ..............................., e-mail / jeżeli dotyczy
Administrator informuje, iż powołał Inspektora Ochrony Danych, z którym można skontaktować się : tel. 00 000 00 00, e-mail: xxx@xxx.xxx.xx.
3.3 Przetwarzający będzie prowadził okresowe monitorowanie procesów wewnętrznych i środków technicznych oraz organizacyjnych w celu zapewnienia, aby przetwarzanie danych w jego obszarze odpowiedzialności było zgodne z wymagania obowiązującego prawa w zakresie ochrony danych oraz ochrony praw Podmiotu Danych (osoby, której dotyczą dane).
3.4 Przetwarzający w ramach Umowy przetwarza Dane Osobowe wyłącznie na podstawie udokumentowanych poleceń lub instrukcji Powierzającego. Udokumentowanym poleceniem jest w szczególności zapotrzebowanie na wykonanie usług zgłaszane w ramach Umowy Podstawowej, co dotyczy w szczególności zgłoszeń w udostępnianych przez Przetwarzającego systemach obsługi zgłoszeń oraz zgłoszeń dokonywanych telefonicznie, a także zgłoszeń przesyłanych przez automatyczne systemy monitorujące.
3.5 Przetwarzanie Danych Osobowych w ramach Umowy zostanie powierzone przez Przetwarzającego tylko takim jego pracownikom, którzy zostaną zobowiązani do zachowania poufności oraz którzy uprzednio zostali zapoznani z postanowieniami w zakresie ochrony danych związanych z ich pracą. Przetwarzający oraz każda osoba działająca z upoważnienia Przetwarzającego, która będzie posiadać dostęp do Danych Osobowych nie będzie przetwarzać tych Danych bez polecenia Powierzającego, chyba że wymagają tego obowiązujące przepisy prawa.
3.6 Przetwarzanie Danych Osobowych nie będzie realizowane poza terenem Unii Europejskiej (UE) lub Europejskim Obszarem Gospodarczym.
3.7 Zamawiający dopuszcza możliwość dostępu zdalnego do zasobów Zamawiającego tj. do statystycznych danych przetwarzanych w Szpitalnym Systemie Informatycznym (HIS), w zakresie koniecznym do realizacji umowy podstawowej, zgodnie z obowiązującymi u Zamawiającego procedurami bezpieczeństwa informacji. W razie uzasadnionej konieczności Zamawiający udostępni Wykonawcy bezpieczne połączenie do wykonania zdalnych prac serwisowych, przez przydzielenie dostępu do Internetu poprzez szyfrowany protokół. Szczegółowe uzgodnienia dotyczące sposobu zdalnego połączenia oraz zakresu udostępnianych danych będą dokonywane na etapie realizacji umowy. Zamawiający nie dopuszcza możliwości wybrania przez Wykonawcę dowolnych wnioskowanych zasobów, technik zdalnego dostępu oraz miejsc przeznaczonych do realizacji zdalnego dostępu. W ramach realizacji Umowy, w przypadku konieczności uzyskania zdalnego dostępu do systemów Administratora, Przetwarzający będzie korzystał wyłącznie z bezpiecznego, wydzielonego łącza VPN.
3.8 Przetwarzający oświadcza, że realizacja zdalnego dostępu do systemów Administratora odbywać się będzie wyłącznie z lokalizacji stanowiącej obszar przetwarzania danych Przetwarzającego, stanowiących pomieszczenia będące w posiadaniu Przetwarzającego. Zabroniona jest realizacja zdalnego dostępu z miejsc nie pozostających pod nadzorem fizycznym Przetwarzającego w szczególności z miejsc publicznie dostępnych.
3.9 W trakcie wykonywania Umowy Przetwarzający będzie współpracować z organem nadzoru na wniosek tego organu. Przetwarzający będzie informował Powierzającego o wszelkich kontrolach oraz środkach podejmowanych przez organ nadzoru jeżeli mają one związek z Umową.
3.10 Jeżeli Powierzający jest przedmiotem kontroli prowadzonej przez organ nadzoru, postępowania administracyjnego lub karnego z powodu przestępstwa lub wykroczenia, roszczenia wniesionego przez osobę, której dotyczą Dane Osobowe lub przez stronę trzecią w związku z przetwarzaniem Danych Osobowych przez Powierzającego, Przetwarzający dołoży wszelkich starań w celu wsparcia Powierzającego.
4. Poufność
4.1. Przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
4.2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
5. Korekta, ograniczanie oraz usuwanie danych
5.1 Przetwarzający może usuwać lub ograniczać przetwarzanie Danych Osobowych jedynie na podstawie udokumentowanych poleceń od Powierzającego.
5.2 Jeżeli Podmiot Danych (osoba, której dotyczą dane) skontaktuje się bezpośrednio z Przetwarzającym w związku z korektą, usunięciem lub ograniczeniem przetwarzania, Przetwarzający natychmiast przekaże Powierzającemu wniosek tego Podmiotu Danych.
6. Dalsze powierzenie przetwarzania Danych Osobowych
6.1 Przetwarzający może powierzyć przetwarzanie Danych Osobowych innym podmiotom przetwarzającym, co w szczególności dotyczy podwykonawców Przetwarzającego, angażowanych przez niego przy realizacji Umowy Podstawowej.
6.2 Przetwarzający może powierzyć przetwarzanie Danych Osobowych innym podmiotom pod warunkiem uzyskania zgody Powierzającego.
6.3 Przystąpienie do przetwarzania danych przez podmioty, o których mowa w ust. 6.1-6.3 może nastąpić po zapewnieniu przez te podmioty zgodności z wszystkimi wymaganiami Umowy, odnoszącymi się do Przetwarzającego.
6.4 Powierzenie przetwarzania Danych Osobowych innym podmiotom nie zmniejsza zakresu odpowiedzialności Przetwarzającego wynikającego w Umowy.
6.5 Przetwarzający zobowiązuje się do natychmiastowego rozwiązania umowy z podmiotem Podprzetwarzajacym w przypadku, gdy zażąda tego Administrator, a w szczególności w sytuacji, gdy Podprzetwarzający nie przestrzega zasad przetwarzania danych osobowych wynikających z obowiązujących przepisów prawa.
7. Uprawnienia Powierzającego w zakresie nadzoru
7.1 Przetwarzający zapewni Powierzającemu możliwość weryfikacji zgodności ze zobowiązaniami Przetwarzającego wynikających z art. 28 RODO.
7.2 Powierzający ma prawo do przeprowadzania kontroli albo do powierzania ich wykonywania przez audytora, który zostanie wyznaczony indywidualnie w każdym wypadku. Przetwarzający zobowiązuje się, że dostarczy Powierzającemu, na jego żądanie niezbędnych informacji, a w szczególności dotyczących środków technicznych i organizacyjnych stosowanych przy przetwarzaniu Danych Osobowych.
7.3 Powierzający będzie realizował prawo kontroli w dni robocze, w godzinach pracy Przetwarzającego z co najmniej 7-dniowym wyprzedzeniem. Za dni robocze Xxxxxx uważać będą dni od poniedziałku do piątku, z wyjątkiem dni ustawowo wolnych od pracy na terytorium Rzeczypospolitej Polskiej.
7.4 Przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli, w terminie wskazanym przez Powierzającego, który nie może jednak być krótszy niż 5 dni.
8. Komunikacja w przypadku naruszeń zasad przetwarzania Danych Osobowych
8.1 Przetwarzający powinien wspierać Powierzającego w zachowaniu zgodności ze zobowiązaniami w zakresie bezpieczeństwa danych osobowych, wymaganiami odnośnie zgłaszania naruszeń danych, oceny skutków dla ochrony danych poprzez podjęcie określonych działań:
a) zapewnienie odpowiedniego poziomu ochrony przez zastosowanie środków technicznych oraz organizacyjnych z uwzględnieniem okoliczności oraz celów przetwarzania, a także projektowanego prawdopodobieństwa oraz skali ewentualnego naruszenia;
b) powiadomienie Administratora o każdym naruszeniu lub podejrzeniu naruszenia ochrony Danych osobowych nie później niż w 24 godziny od pierwszego zgłoszenia, umożliwienie Administratorowi uczestnictwa w czynnościach wyjaśniających i poinformowanie go o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia;
c) przesłanie powiadomienia o stwierdzeniu naruszenia wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, umożliwiając tym samym Administratorowi spełnienie obowiązku powiadomienia organu nadzoru.
d) wsparcie Powierzającego w odniesieniu do obowiązków związanych z informowaniem zainteresowanego Podmiotu Danych (osoby, której dotyczą dane) oraz dostarczanie Powierzającemu wszystkich posiadanych informacji na ten temat;
e) wspieranie Powierzającego w zakresie oceny skutków dla ochrony jego danych.
8.2 Powiadomienie o naruszeniu zasad przetwarzania danych Przetwarzający zrealizuje przy użyciu Elektronicznej Platformy Usług Administracji Publicznej (ePUAP) na adres skrytki ePUAP Administratora: /COI_KRN/SkrytkaESP oraz powiadamiając Inspektora Ochrony Danych Administratora.
9. Prawo Powierzającego do wydawania poleceń
9.1 Polecenia wydane ustnie zostaną natychmiast potwierdzone przez Powierzającego minimum w formie wiadomości przesłanej pocztą elektroniczną.
9.2 Przetwarzający niezwłocznie będzie informował Powierzającego w przypadku stwierdzenia, że dane polecenie narusza przepisy prawa w zakresie ochrony danych. W takim wypadku
Przetwarzający ma prawo zawiesić wykonanie odnośnych poleceń do czasu ich potwierdzenia albo zmiany przez Powierzającego.
10. Kasowanie oraz zwrot danych osobowych
10.1 Przetwarzający nie będzie tworzył kopii Danych Osobowych bez wiedzy Administratora za wyjątkiem kopii zapasowych w zakresie koniecznym do zapewnienia właściwego przetwarzania danych.
10.2 Po wygaśnięciu Umowy Przetwarzający przekaże Administratorowi albo – za uprzednią zgodą Administratora – w ciągu 30 dni zniszczy wszystkie dokumenty, wyniki przetwarzania oraz zbiory danych związane z Umową, które znalazły się w jego posiadaniu, w sposób zgodny z ochroną danych. Protokół zniszczenia lub usunięcia należy dostarczyć na żądanie Administratora.
10.3 Przetwarzający po wygaśnięciu Umowy może zachować kopię Danych Osobowych przetwarzanych w systemach Przetwarzającego (w szczególności w systemie obsługi zgłoszeń serwisowych) i dotyczących realizacji Umowy Podstawowej w celu wypełnienia obowiązków ustawowych oraz jeśli toczy się postępowanie przed uprawnionymi organami. Kopia Danych, o których mowa w zdaniu poprzedzającym może być przechowywana do upływu okresu przedawnienia roszczeń i zobowiązań wynikających z Umowy Podstawowej, w tym zobowiązań podatkowych, a w przypadku toczących się postępowań przed uprawnionymi organami – do ich zakończenia.
10.4 Uprawnienie, o którym mowa w ust. 10.3 nie obejmuje prawa do tworzenia kopii baz danych Powierzającego.
11. Odpowiedzialność
11.1 Przetwarzający odpowiada za szkody spowodowane swoim działaniem w związku z niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na Przetwarzającego lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom.
11.2 Jeżeli Podprzetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora i osób trzecich za wypełnienie obowiązków przez Podprzetwarzającego spoczywa na Przetwarzającym.
12. Postanowienia końcowe
12.1 Zmiany Umowy muszą być dokonywane piśmie pod rygorem nieważności.
12.2 Jeżeli poszczególne postanowienia Umowy staną się nieskuteczne albo niewykonalne po jej podpisaniu, nie będzie to miało wpływu na ważność pozostałych postanowień Umowy.
12.3 Postanowienie nieskuteczne albo niewykonalne należy zastąpić postanowieniem skutecznym oraz wykonalnym, najbardziej zbliżonym do celu ekonomicznego, do którego dążyły strony Umowy w ramach postanowienia nieważnego lub niewykonalnego.
12.4 Umowa wchodzi w życie z dniem zawarcia i zastępuje wszystkie istniejące porozumienia Stron w zakresie powierzenia i zasad przetwarzania Danych Osobowych.
12.5 Niniejsza umowa podlega prawu polskiemu.
12.6 Sądem właściwym dla rozpatrzenia sporów wynikających z Umowy będzie sąd właściwy Powierzającego.
12.7 Wynagrodzenie określone w Umowie podstawowej obejmuje także wynagrodzenie za wykonywanie niniejszej Umowy. Przetwarzający oświadcza, że wynagrodzenie wskazane w zdaniu poprzednim wyczerpuje jego roszczenia wobec Administratora wynikające z niniejszej Umowy.
12.8 Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach: jeden egzemplarze dla Powierzającego, jeden egzemplarz dla Przetwarzającego.