Vzorec pogodbe o obdelavi osebnih podatkov

Vzorec pogodbe o obdelavi osebnih podatkov

NACIONALNI INŠTITUT ZA JAVNO ZDRAVJE, Trubarjeva cesta 2, 1000 Ljubljana, IŠ za DDV: SI44724535, ki ga zastopa direktorica, Xxxx Xxxxxx, dr. med., spec. (v nadaljevanju: upravljavec)

in

       z matično številko:       in identifikacijsko številko za DDV: SI , ki ga zastopa direktor             (v nadaljevanju: pogodbeni obdelovalec)

sklepata:

POGODBO

o obdelavi osebnih podatkov

I. UVODNE DOLOČBE

1. člen

(1) Pogodbeni stranki uvodoma ugotavljata:

- da imata sklenjeno pogodbo št.          , na podlagi katere obdelovalec za upravljavca izvaja (OPREDELITE VRSTE DEL PO POGODBI):

- da predmetno pogodbo sklepata zaradi ureditve pogodbene obdelave osebnih podatkov in določitev pravic in obveznosti pogodbenih strank v zvezi z obdelavo osebnih podatkov pri upravljavcu zaradi zagotavljanje pravic posameznikov, kot jih določa Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES1 (v nadaljevanju Splošna uredba o varstvu podatkov) in vsakokrat veljaven zakon, ki ureja varstvo osebnih podatkov;

- da obdelovalec podatkov zagotavlja zadostna jamstva o tem, da bo izvajal ustrezne tehnične in organizacijske ukrepe za zagotavljanje skladnosti prevzetih opravil obdelave z relevantnimi predpisi o varovanju osebnih podatkov

II. PREDMET POGODBE

2. člen

Predmet te pogodbe je ureditev medsebojnih razmerij za namen zagotavljanja pravic posameznikov, katerih osebni podatki se obdelujejo za izvajanje dejavnosti upravljavca in jih zanj obdeluje obdelovalec.

Upravljavec osebnih podatkov bo obdelovalcu z namenom izvajanja pogodbene obdelave posredoval naslednje osebne podatke:

- EMŠO;

- Spol;

- Datum rojstva;

- Diagnoza;

- Prisotni dejavniki tveganja;

- Indeks telesne mase;

- Obseg pasu;

- Prisotnost urinske inkotinence;

- Pogostost urinske inkotinence;

- Rezultati testiranja aerobne zmogljivosti;

Osebni podatki iz prejšnjega odstavka so del evidence/zbirke            ( NAVEDITE NAZIV ZBIRKE).

Obdelovalec osebnih podatkov bo le te sprejel in jih obdeloval zgolj za namene izvajanja storitev po naročilu upravljavca. Z osebnimi podatki bo ravnal skrbno in bo zagotavljal njihovo varovanje skladno s pravili Splošne uredbe o varstvu podatkov in vsakokrat veljavnega zakona, ki ureja varovanje osebnih podatkov.

III. NAMEN POGODBENE OBDELAVE

3. člen

Upravljavec določa namen obdelave osebnih podatkov.

Obdelovalec sme z osebnimi podatki, ki jih prejme od upravljavca, razpolagati oziroma jih obdelovati zgolj za izvajanje naslednjih opravil:

• Vpogled, dostop in obdelavo podatkov. Obdelovalec ima pooblastilo za vpogled, dostop in za vse oblike obdelave osebnih podatkov, ki so potrebni za izvedbo storitve skladno s pogodbo, ki je predmet tega JN in njenim namenom oziroma izvedbo naslednjih storitev:

o razvoj, izdelava in uvedba ter dokumentiranje in optimizacija delovanja programskega dela;

o odprava napak na programski opremi;

o spremembe programskega dela informacijskega sistema, potrebne zaradi zakonskih sprememb;

o nove, izboljšane verzije programskih rešitev;

o programiranje/dodelave in prilagoditve funkcionalnosti v skladu s pripravljenimi specifikacijami.

Obdelovalec zagotavlja, da je registriran za opravljanje dejavnosti iz drugega odstavka tega člena.

IV. OBVEZNOSTI POGODBENEGA OBDELOVALCA

4. člen

Pogodbeni obdelovalec se za izvajanje obveznosti po tej pogodbi zavezuje:

- da osebnih podatkov ne bo uporabil za drug namen, kot za izvajanje storitev na podlagi pogodbe med upravljavcem in obdelovalcem in za izvajanje obveznosti na podlagi zakona ali predpisa EU;

- na zahtevo upravljavca sodelovati in posredovati vse informacije za zagotavljanje pravic posameznikov, katerih osebni podatki se obdelujejo;

- pri izvajanju pogodbenih storitev izpolnjevati vse zahteve Splošne uredbe o varstvu podatkov v povezavi z oblikovanjem in s hrambo revizijskih sledi;

- zagotavljati upravljavcu vse informacije in podporo pri obravnavi zahtev posameznikov ali zaradi izvajanja nadzora nadzornih organov ves čas veljavnosti pogodbe in tudi po izteku pogodbe o izvajanju storitev za upravljavca;

- obveščati upravljavca o statusnih ali drugih spremembah pri obdelovalcu, ki bi lahko vplivale na izvajanje pogodbenih obveznosti;

- zagotoviti, da bodo pri njem zaposleni in druge osebe za obdelavo osebnih podatkov, ki so predmet te pogodbe, ves čas obdelovanja podatkov in tudi po prenehanju obdelovanja, zavezane k varovanju zaupnosti podatkov;

- zagotavljati spremljanje varnosti osebnih podatkov in v primeru ugotovljenih razlogov za povečano tveganje za varnost osebnih podatkov ali v primeru kršitve takoj o tem obveščati upravljavca in izvesti vse potrebne ukrepe za odpravo ali zmanjšanje nastalih tveganj na najmanjšo možno mero;

- v primeru suma ali zaznave kršitve varnosti osebnih podatkov (npr. uničenje podatkov, vdor v informacijski sistem ali v prostore obdelovalca, nepooblaščen dostop, itd.) o tem takoj oziroma v najkrajšem možnem času, obveščati upravljavca ter nemudoma ukrepati skladno s 33. in 34. členom Splošne uredbe o varstvu podatkov;

- po izpolnitvi pogodbenih obveznosti med upravljavcem in obdelovalcem ali v primeru spora ali v primeru prenehanja sodelovanja med pogodbenima strankama iz kateregakoli razloga, nemudoma posredovati upravljavcu vse osebne podatke na ustreznem nosilcu podatkov in v obliki, da jih bo upravljavec lahko uporabil za nadaljnje obdelovanje ali posredovanje drugemu obdelovalcu, vse morebitne varnostne ali druge kopije osebnih podatkov pa bo uničil. Drugače bo ravnal le na podlagi pisnih navodil upravljavca ali zaradi izpolnjevanja obveznosti na podlagi veljavnih predpisov;

- da vedno pravočasno obvesti upravljavca, če meni, da je določeno navodilo iz pogodbe ali dogovora ali na njuni podlagi v nasprotju z določbami zakona, ki ureja varstvo osebnih podatkov;

- upoštevati ostale obveznosti, ki jih predpisuje -28. člen Splošne uredbe o varstvu podatkov oziroma veljaven zakon, ki ureja varstvo osebnih podatkov.

V. OBVEZNOSTI UPRAVLJALCA

5. člen

Upravljavec je odgovoren za ustrezno pravno podlago za pridobivanje in obdelavo osebnih podatkov, ki jih posreduje obdelovalcu.

Upravljavec se prav tako zavezuje obveščati obdelovalca o posebnostih in obveznostih obdelovalca za zagotavljanje pogodbenih obveznosti ter o morebitnih znanih tveganjih glede zagotavljanja pravic posameznikom, katerih osebni podatki se obdelujejo.

VI. VAROVANJE PODATKOV

6. člen

Pogodbeni stranki se zavezujeta, da bosta sodelovali pri zagotavljanju ustreznih organizacijskih in tehničnih ukrepov, ki zagotavljajo varovanje osebnih podatkov in uresničevanje pravic v povezavi z njimi skladno z Splošno uredbo o varstvu podatkov (člen 28 in 32).

Pogodbeni stranki se posebej dogovorita, da bo pogodbeni obdelovalec (NATANČNO NAVEDITE KONKRETNE UKREPE ZA ZAVAROVANJE OSEBNIH PODATKOV – PRIMERI):

• osebne podatke hranil v zaklenjenih prostorih / v ognjevarnih omarah,

• osebne podatke hranil v prostoru, ki je varovan z: videonadzornim sistemom / z alarmnim sistemom,

• osebni podatki se bodo posredovali po kurirju / s priporočeno pošto / v kuverti / po elektronski pošti,;

• prenos občutljivih osebnih podatkov preko telekomunikacijskih omrežij, bo zavarovan s kriptografijo in elektronskim podpisom,

• osebne podatke bodo pri pogodbenem obdelovalcu obdelovali le za to posebej pooblaščeni zaposleni / osebne podatke bodo pri pogodbenem obdelovalcu obdelovali le zaposleni v sektorju za analizo trga,

• …

Obdelovalec se tudi zavezuje, da bo spoštoval tudi Pravilnik o varstvu osebnih podatkov na NIJZ, ter njihovo krovno in področne politike varovanja informacij, s katerim se lahko seznani na sedežu NIJZ oziroma ga lahko pridobi v elektronski obliki.

Upravljavec bo pri pogodbenem obdelovalcu ves čas nadzoroval izvajanja postopkov in ukrepov iz prejšnjega odstavka tega člena.

VII. VKLJUČITEV DRUGIH OBDELOVALCEV

7. člen

Obdelovalec se zavezuje, da brez predhodnega posebnega pisnega dovoljenja upravljavca v obdelavo ne bo vključil drugih pogodbenih obdelovalcev (podizvajalcev, zunanjih izvajalcev), pri čemer ima upravljavec pravico zavrniti dovoljenje za vključitev drugega obdelovalca, če to po oceni upravljavca lahko vpliva na povečano tveganje za varnost osebnih podatkov.

Drugega obdelovalca zavezujejo enake dolžnosti varstva osebnih podatkov, kot obdelovalca. Če drugi obdelovalec ne izpolnjuje vseh svojih obveznosti glede varstva osebnih podatkov, za izpolnjevanje obveznosti drugega obdelovalca v odnosu do upravljavca v celoti odgovarja obdelovalec.

VIII. PRENOS PODATKOV V 3. DRŽAVE

8. člen

Obdelovalec ne sme brez pisnega dovoljenja posredovati ali hraniti ali drugače obdelovati osebnih podatkov upravljavca izven EU območja (v tretje države) ali posredovati podatke mednarodni organizaciji.

Upravljavec lahko zavrne izdajo pisnega dovoljenja obdelovalcu za prenos podatkov v tretje države ali mednarodno organizacijo, če mu obdelovalec ne uspe izkazati ustrezno raven varstva podatkov na enakovredni ravni, kot ga zagotavlja Splošna uredba o varstvu podatkov in drugi predpisi v Republiki Sloveniji.

IX. KONČNE DOLOČBE

9. člen

Vse spremembe in dopolnitve te pogodbe se sklenejo v obliki pisnih dodatkov k tej pogodbi.

10. člen

Morebitne spore iz te pogodbe bosta pogodbeni stranki reševali sporazumno, če pa to ne bo mogoče, bo o sporih odločalo pristojno sodišče na sedežu naročnika.

11. člen

Ta pogodba začne veljati z dnem podpisa obeh pogodbenih strank in velja za čas trajanja pogodbe / do izvedbe dogodka iz    . člena pogodbe/do predaje primopredajnega zapisnika.

12. člen

Ta pogodba je sestavljena v dveh(2) enakih izvodih, od katerih prejme vsaka stranka po 1 (en) izvod pogodbe.

Številka:

V Ljubljani, dne V , dne

POGODBENI OBDELOVALEC: UPRAVLJAVEC:

NACIONALNI INŠTITUT ZA JAVNO ZDRAVJE

direktorica, Xxxx Xxxxxx, dr. med., spec