Porozumienie
o powierzeniu przetwarzania danych osobowych (dalej: Porozumienie)
zawarte z
Niepublicznym Zakładem Opieki Zdrowotnej VESALIUS Spółka Cywilna, 76-200 Słupsk, ul. Sienkiewicza 5/1, reprezentowanym przez Iwonę Pawłowską – Stojcev i Zorana Stojceva, NIP 839 305 94 53 zwanym dalej Udzielającym zamówienia z jednej strony,
oraz
„Podmiotem przetwarzającym”
§1
Powierzenie przetwarzania danych osobowych
- W związku z zawarciem i realizacją Umowy z dnia 1 stycznia 2019 dotyczącej wykonywania świadczeń medycznych zawartej przez Strony (dalej: Umowa), Udzielający zamówienia powierza Podmiotowi Przetwarzającemu:
- dane osobowe Pacjentów na rzecz których wykonywana są świadczenia medyczne na podstawie zawartej Umowy, (dalej: Dane Osobowe Pacjentów) w zakresie takich danych, jak:
- nazwisko i imię (imiona),
- datę urodzenia,
- oznaczenie płci,
- adres miejsca zamieszkania/oddział szpitalny,
- numer PESEL, jeżeli został nadany, w przypadku noworodka - numer PESEL matki, a w przypadku osób, które nie mają nadanego numeru PESEL - rodzaj i numer dokumentu potwierdzającego tożsamość,
- w przypadku gdy pacjentem jest osoba małoletnia, całkowicie ubezwłasnowolniona lub niezdolna do świadomego wyrażenia zgody - nazwisko i imię (imiona) przedstawiciela ustawowego oraz adres jego miejsca zamieszkania,
- numer identyfikacyjny pacjenta podawany przy braku innych danych,
- rozpoznanie lekarskie, wyniki badań diagnostycznych i konsultacji, dane biometryczne
- nr telefonu kontaktowego, dane osoby upoważnionej do udzielania informacji i pozyskania dokumentacji oraz inne informacje lub dane, w zakresie niezbędnym do przeprowadzenia badania, konsultacji lub leczenia.
- dane osobowe Personelu Udzielającego Zamówienia, upoważnionego do wykonania zadań związanych z realizacją Umowy (dalej: Dane Osobowe Personelu), tj.:
- dane osobowe lekarzy lub innych osób uprawnionych po stronie Udzielającego Zamówienia na podstawie Umowy do zlecania badania (imię i nazwisko lekarza kierującego, tytuł zawodowy, uzyskane specjalizacje, numer prawa wykonywania zawodu),
- dane osób pobierających materiał do badań (imię i nazwisko, tytuł zawodowy, numer prawa wykonywania zawodu),
- dane innych osób uprawnionych przez Udzielającego Zamówienia do dostępu do dokumentacji medycznej (imię i nazwisko, tytuł zawodowy, numer prawa wykonywania zawodu .
- Zakres danych osobowych wymienionych w ust. 1 jest maksymalnym katalogiem danych, które mogą być przetwarzane w związku z realizacją Umowy. W rzeczywistości dane mogą być przekazywane przez Udzielającego Zamówienia w mniejszym zakresie bez uszczerbku dla postanowień Porozumienia. Zakres danych może ulec zmianie w przypadku zmiany aktualnie obowiązujących przepisów prawa.
- Podmiot Przetwarzający oświadcza, że zna i zobowiązuje się stosować przepisy dotyczące ochrony danych osobowych w szczególności Rozporządzenia Parlamentu Europejskiego i rady UE 2016/679 (RODO).
- Podmiot Przetwarzający zobowiązuje się przetwarzać Dane Osobowe Pacjentów i Dane Osobowe Personelu zgodnie z poleceniem Udzielającego Zamówienia, przestrzegając:
- postanowień Porozumienia,
- obowiązujących przepisów regulujących kwestię ochrony danych osobowych; w szczególności ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, a od dnia 25 maja 2018 r. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: Rozporządzenie).
§2
Zakres i cel przetwarzania danych
Udzielającego Zamówienia upoważnia Podmiot Przetwarzający do przetwarzania w jego imieniu Danych Osobowych Pacjentów oraz Danych Osobowych Personelu w celu i zakresie niezbędnym do realizacji postanowień Umowy, w szczególności w zakresie dostępu, przechowywania i opracowywania danych dla celów związanych z wykonywaniem badań laboratoryjnych.
§3
Obowiązki Podmiotu Przetwarzającego
- Podmiot Przetwarzający zobowiązuje się:
- stosować środki zapewniające ochronę powierzonych danych, a w szczególności zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, utratą, uszkodzeniem lub zniszczeniem zgodnie z obowiązującymi regulacjami prawnymi
- od dnia 1.01.2019 r., przy przetwarzaniu powierzonych danych osobowych na podstawie Porozumienia, zabezpieczy je poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych
- zapewnić zachowanie w tajemnicy przetwarzanych danych oraz sposobów ich zabezpieczenia przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji Umowy lub Porozumienia, zarówno w trakcie zatrudnienia lub współpracy z Podmiotem Przetwarzającym, jak i po ustaniu zatrudnienia lub współpracy.
- Podmiot Przetwarzający od dnia 1.09. 2018 r. pomaga Udzielającemu Zamówienia:
- w miarę swoich możliwości, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia (Prawa osoby, której dane dotyczą).
- w wywiązywaniu się z obowiązków określonych w art. 32-36 Rozporządzenia, w szczególności w przypadku stwierdzenia naruszenia zasad ochrony i przetwarzania powierzonych danych osobowych na podstawie Porozumienia, zgłasza je Udzielającemu Zamówienia niezwłocznie, jednak nie później niż w terminie 48 godzin od chwili stwierdzenia naruszenia.
- Podmiot Przetwarzający po zakończeniu trwania umowy jest zobowiązany do usunięcia lub zwrotu Udzielającemu zamówienia powierzonych danych osobowych, o ile przepis prawa powszechnie obowiązującego nie stanowi inaczej.
§4
Odpowiedzialność
- Podmiot Przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Porozumienia, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
- Podmiot Przetwarzający jest zobowiązany do niezwłocznego poinformowania Udzielającego Zamówienia o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania powierzonych danych osobowych oraz o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczących powierzonych na podstawie Porozumienia danych osobowych oraz planowanych kontrolach w zakresie ochrony danych osobowych.
§5
Czas obowiązywania umowy
- Porozumienie obowiązuje przez okres trwania Umowy.
- W każdym wypadku Porozumienie przestaje wiązać Strony z dniem, z którym przestają być związane postanowieniami Umowy.
§6
Poufność
- Podmiot Przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Udzielającego Zamówienia i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”) .
- Podmiot Przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Udzielającego Zamówienia w innym celu niż wykonanie Umowy lub Porozumienia, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Porozumienia.
- Na podstawie art. 27 oraz art. 39 ust. 1 ustawy z 29.08.1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2018 r., poz. 922 ze zm.) Podmiot Przetwarzający oświadcza, że w związku z wykonywaniem usług na rzecz NZOZ Vesalius zobowiązuje się do nie ujawniania danych osobowych dotyczących pacjentów oraz personelu NZOZ, w szczególności:
- - danych o stanie zdrowia;
- - pochodzenia rasowego lub etnicznego;
- - poglądów politycznych;
- - przekonań religijnych lub filozoficznych;
- - przynależności wyznaniowej, partyjnej lub związkowej;
- - kodzie genetycznym, nałogach lub życiu seksualnym;
- - status materialny
i innych, których nie będzie ujawniał również po wygaśnięciu niniejszej umowy. Znane są mu prawa przysługujące w związku z ochroną jego danych osobowych w świetle powyższej ustawy.
- Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych, w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
§7
- Zgodnie z art. art. 13 ust. 1 i ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), Udzielający Zamówienia informuje, iż:
- Administratorem danych osobowych Podmiotu Przetwarzającego jest Niepubliczny Zakład Opieki Zdrowotnej VESALIUS Spółka Cywilna, 76-200 Słupsk, ul. Sienkiewicza 5/1, reprezentowanym przez Iwonę Pawłowską – Stojcev i Zorana Stojceva, NIP 839 305 94 53
- Podmiot Przetwarzający posiada prawo dostępu do treści swoich danych osobowych, prawo do ich sprostowania, usunięcia, jak również prawo do ograniczenia ich przetwarzania/ prawo do cofnięcia zgody, prawo do przenoszenia danych, prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych Podmiotu Przetwarzającego. Oświadczenie o cofnięciu zgody na przetwarzanie danych osobowych wymaga złożenia w formie pisemnej na adres siedziby Udzielającego Zamówienia,
- Podmiotowi Przetwarzającemu przysługuje prawo wniesienia skargi do organu nadzorczego, tj. do Prezesa Urzędu Ochrony Danych Osobowych, jeśli jego zdaniem, przetwarzanie danych osobowych narusza przepisy RODO,
- dane osobowe Podmiotu Przetwarzającego będą przetwarzane dla zawarcia i prawidłowej realizacji niniejszej umowy, dla celów podatkowych, a także mogą być przetwarzane dla dochodzenia ew. roszczeń wynikających z przepisów prawa cywilnego,
- podanie przez Podmiot Przetwarzający danych osobowych jest dobrowolne i konieczne dla celów związanych z zawarciem i realizacją niniejszej umowy,
- dane osobowe Podmiotu Przetwarzającego przetwarzane będą w oparciu o art. 6 ust. 1 lit. b RODO (przetwarzanie jest niezbędne do wykonania niniejszej umowy), art. 6 ust. 1 lit. c RODO (przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego, który ciąży na Udzielającym Zamówienia, w tym wypełnienia obowiązku archiwizacyjnego) oraz art. 9 ust. 2 lit. f RODO (przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń) na podstawie dobrowolnej zgody Podmiotu Przetwarzającego,
- odbiorcami danych osobowych Podmiotu Przetwarzającego będą podmioty wobec których istnieje obowiązek przekazywania tych danych w oparciu o obowiązujące przepisy prawa, a także podmioty świadczące na rzecz Udzielającego Zamówienia usługi prawne, księgowe, i pocztowe,
- Udzielający Zamówienia informuje, iż dane osobowe Podmiotu Przetwarzającego nie będą przekazywane żadnym odbiorcom danych,
- na podstawie art. 7 ust. 1 RODO Podmiot Przetwarzający oświadcza, że wyraża zgodę na przetwarzanie przez administratora, którym jest Udzielający Zamówienia danych osobowych w celu zawarcia i realizacji postanowień niniejszej umowy. Powyższa zgoda została wyrażona dobrowolnie zgodnie z art. 4 pkt 11 RODO.
§8
Porozumienie o powierzeniu przetwarzania danych osobowych sporządzono w 2 egzemplarzach, po 1 dla każdej ze stron