Loading color scheme

Porozumienie
o powierzeniu przetwarzania danych osobowych (dalej: Porozumienie)

zawarte z

Niepublicznym Zakładem Opieki Zdrowotnej VESALIUS Spółka Cywilna, 76-200 Słupsk, ul. Sienkiewicza 5/1, reprezentowanym przez Iwonę Pawłowską – Stojcev i Zorana Stojceva, NIP 839 305 94 53 zwanym dalej Udzielającym zamówienia z jednej strony,

oraz 

 „Podmiotem przetwarzającym”

§1

Powierzenie przetwarzania danych osobowych

  1. W związku z zawarciem i realizacją Umowy z dnia 1 stycznia 2019 dotyczącej wykonywania świadczeń medycznych zawartej przez Strony (dalej: Umowa), Udzielający zamówienia powierza Podmiotowi Przetwarzającemu:
  • dane osobowe Pacjentów na rzecz których wykonywana są świadczenia medyczne na podstawie zawartej Umowy, (dalej: Dane Osobowe Pacjentów) w zakresie takich danych, jak:
  1. nazwisko i imię (imiona),
  2. datę urodzenia,
  3. oznaczenie płci,
  4. adres miejsca zamieszkania/oddział szpitalny,
  5. numer PESEL, jeżeli został nadany, w przypadku noworodka - numer PESEL matki, a w przypadku osób, które nie mają nadanego numeru PESEL - rodzaj i numer dokumentu potwierdzającego tożsamość,
  6. w przypadku gdy pacjentem jest osoba małoletnia, całkowicie ubezwłasnowolniona lub niezdolna do świadomego wyrażenia zgody - nazwisko i imię (imiona) przedstawiciela ustawowego oraz adres jego miejsca zamieszkania,
  7. numer identyfikacyjny pacjenta podawany przy braku innych danych,
  8. rozpoznanie lekarskie, wyniki badań diagnostycznych i konsultacji, dane biometryczne
  9. nr telefonu kontaktowego, dane osoby upoważnionej do udzielania informacji i pozyskania dokumentacji oraz inne informacje lub dane, w zakresie niezbędnym do przeprowadzenia badania, konsultacji lub leczenia.
  • dane osobowe Personelu Udzielającego Zamówienia, upoważnionego do wykonania zadań związanych z realizacją Umowy (dalej: Dane Osobowe Personelu), tj.:
  1. dane osobowe lekarzy lub innych osób uprawnionych po stronie Udzielającego Zamówienia na podstawie Umowy do zlecania badania (imię i nazwisko lekarza kierującego, tytuł zawodowy, uzyskane specjalizacje, numer prawa wykonywania zawodu),
  2. dane osób pobierających materiał do badań (imię i nazwisko, tytuł zawodowy, numer prawa wykonywania zawodu),
  3. dane innych osób uprawnionych przez Udzielającego Zamówienia do dostępu do dokumentacji medycznej (imię i nazwisko, tytuł zawodowy, numer prawa wykonywania zawodu .
  4. Zakres danych osobowych wymienionych w ust. 1 jest maksymalnym katalogiem danych, które mogą być przetwarzane w związku z realizacją Umowy. W rzeczywistości dane mogą być przekazywane przez Udzielającego Zamówienia w mniejszym zakresie bez uszczerbku dla postanowień Porozumienia. Zakres danych może ulec zmianie w przypadku zmiany aktualnie obowiązujących przepisów prawa.
  5. Podmiot Przetwarzający oświadcza, że zna i zobowiązuje się stosować przepisy dotyczące ochrony danych osobowych w szczególności Rozporządzenia Parlamentu Europejskiego i rady UE 2016/679 (RODO).
  6. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane Osobowe Pacjentów i Dane Osobowe Personelu zgodnie z poleceniem Udzielającego Zamówienia, przestrzegając:
  • postanowień Porozumienia,
  • obowiązujących przepisów regulujących kwestię ochrony danych osobowych; w szczególności ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, a od dnia 25 maja 2018 r. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: Rozporządzenie). 

§2

Zakres i cel przetwarzania danych

Udzielającego Zamówienia upoważnia Podmiot Przetwarzający do przetwarzania w jego imieniu Danych Osobowych Pacjentów oraz Danych Osobowych Personelu w celu i zakresie niezbędnym do realizacji postanowień Umowy, w szczególności w zakresie dostępu, przechowywania i opracowywania danych dla celów związanych z wykonywaniem badań laboratoryjnych. 

§3

Obowiązki Podmiotu Przetwarzającego

  1. Podmiot Przetwarzający zobowiązuje się:
  2. stosować środki zapewniające ochronę powierzonych danych, a w szczególności zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, utratą, uszkodzeniem lub zniszczeniem zgodnie z obowiązującymi regulacjami prawnymi
  3. od dnia 1.01.2019 r., przy przetwarzaniu powierzonych danych osobowych na podstawie Porozumienia, zabezpieczy je poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych
  4. zapewnić zachowanie w tajemnicy przetwarzanych danych oraz sposobów ich zabezpieczenia przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji Umowy lub Porozumienia, zarówno w trakcie zatrudnienia lub współpracy z Podmiotem Przetwarzającym, jak i po ustaniu zatrudnienia lub współpracy.
  5. Podmiot Przetwarzający od dnia 1.09. 2018 r. pomaga Udzielającemu Zamówienia:
  6. w miarę swoich możliwości, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia (Prawa osoby, której dane dotyczą).
  7. w wywiązywaniu się z obowiązków określonych w art. 32-36 Rozporządzenia, w szczególności w przypadku stwierdzenia naruszenia zasad ochrony i przetwarzania powierzonych danych osobowych na podstawie Porozumienia, zgłasza je Udzielającemu Zamówienia niezwłocznie, jednak nie później niż w terminie 48 godzin od chwili stwierdzenia naruszenia.
  8. Podmiot Przetwarzający po zakończeniu trwania umowy jest zobowiązany do usunięcia lub zwrotu Udzielającemu zamówienia powierzonych danych osobowych, o ile przepis prawa powszechnie obowiązującego nie stanowi inaczej. 

§4

Odpowiedzialność

  1. Podmiot Przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Porozumienia, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
  2. Podmiot Przetwarzający jest zobowiązany do niezwłocznego poinformowania Udzielającego Zamówienia o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania powierzonych danych osobowych oraz o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczących powierzonych na podstawie Porozumienia danych osobowych oraz planowanych kontrolach w zakresie ochrony danych osobowych. 

§5

 Czas obowiązywania umowy

  1. Porozumienie obowiązuje przez okres trwania Umowy.
  2. W każdym wypadku Porozumienie przestaje wiązać Strony z dniem, z którym przestają być związane postanowieniami Umowy.

  

§6

Poufność

  1. Podmiot Przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Udzielającego Zamówienia i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”) .
  2. Podmiot Przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Udzielającego Zamówienia w innym celu niż wykonanie Umowy lub Porozumienia, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Porozumienia.
  3. Na podstawie art. 27 oraz art. 39 ust. 1 ustawy z 29.08.1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2018 r., poz. 922 ze zm.) Podmiot Przetwarzający oświadcza, że w związku z wykonywaniem usług na rzecz NZOZ Vesalius zobowiązuje się do nie ujawniania danych osobowych dotyczących pacjentów oraz personelu NZOZ, w szczególności:
  • - danych o stanie zdrowia;
  • - pochodzenia rasowego lub etnicznego;
  • - poglądów politycznych;
  • - przekonań religijnych lub filozoficznych;
  • - przynależności wyznaniowej, partyjnej lub związkowej;
  • - kodzie genetycznym, nałogach lub życiu seksualnym;
  • - status materialny

i innych, których nie będzie ujawniał również po wygaśnięciu niniejszej umowy. Znane są mu prawa przysługujące w związku z ochroną jego danych osobowych w świetle powyższej ustawy.

  1. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych, w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią. 

§7

  1. Zgodnie z art. art. 13 ust. 1 i ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), Udzielający Zamówienia informuje, iż:
  2. Administratorem danych osobowych Podmiotu Przetwarzającego jest Niepubliczny Zakład Opieki Zdrowotnej VESALIUS Spółka Cywilna, 76-200 Słupsk, ul. Sienkiewicza 5/1, reprezentowanym przez Iwonę Pawłowską – Stojcev i Zorana Stojceva, NIP 839 305 94 53
  3. Podmiot Przetwarzający posiada prawo dostępu do treści swoich danych osobowych, prawo do ich sprostowania, usunięcia, jak również prawo do ograniczenia ich przetwarzania/ prawo do cofnięcia zgody, prawo do przenoszenia danych, prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych Podmiotu Przetwarzającego. Oświadczenie o cofnięciu zgody na przetwarzanie danych osobowych wymaga złożenia w formie pisemnej na adres siedziby Udzielającego Zamówienia,
  4. Podmiotowi Przetwarzającemu przysługuje prawo wniesienia skargi do organu nadzorczego, tj. do Prezesa Urzędu Ochrony Danych Osobowych, jeśli jego zdaniem, przetwarzanie danych osobowych narusza przepisy RODO,
  5. dane osobowe Podmiotu Przetwarzającego będą przetwarzane dla zawarcia i prawidłowej realizacji niniejszej umowy, dla celów podatkowych, a także mogą być przetwarzane dla dochodzenia ew. roszczeń wynikających z przepisów prawa cywilnego,
  6. podanie przez Podmiot Przetwarzający danych osobowych jest dobrowolne i konieczne dla celów związanych z zawarciem i realizacją niniejszej umowy,
  7. dane osobowe Podmiotu Przetwarzającego przetwarzane będą w oparciu o art. 6 ust. 1 lit. b RODO (przetwarzanie jest niezbędne do wykonania niniejszej umowy), art. 6 ust. 1 lit. c RODO (przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego, który ciąży na Udzielającym Zamówienia, w tym wypełnienia obowiązku archiwizacyjnego) oraz art. 9 ust. 2 lit. f RODO (przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń) na podstawie dobrowolnej zgody Podmiotu Przetwarzającego,
  8. odbiorcami danych osobowych Podmiotu Przetwarzającego będą podmioty wobec których istnieje obowiązek przekazywania tych danych w oparciu o obowiązujące przepisy prawa, a także podmioty świadczące na rzecz Udzielającego Zamówienia usługi prawne, księgowe, i pocztowe,
  9. Udzielający Zamówienia informuje, iż dane osobowe Podmiotu Przetwarzającego nie będą przekazywane żadnym odbiorcom danych,
  10. na podstawie art. 7 ust. 1 RODO Podmiot Przetwarzający oświadcza, że wyraża zgodę na przetwarzanie przez administratora, którym jest Udzielający Zamówienia danych osobowych w celu zawarcia i realizacji postanowień niniejszej umowy. Powyższa zgoda została wyrażona dobrowolnie zgodnie z art. 4 pkt 11 RODO.

§8

Porozumienie o powierzeniu przetwarzania danych osobowych sporządzono w 2 egzemplarzach, po 1 dla każdej ze stron