1. Administrator danych zgodnie z art. 28 ust. 3 pkt h) RODO ma prawo kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy.
2. Administrator danych realizować będzie prawo kontroli w godzinach pracy Podmiotu przetwarzającego i z minimum 32 h jego uprzedzeniem.
3. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora danych nie dłuższym niż 7 dni.
4. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 i 32 RODO w zakresie powierzonych danych.
§5
Dalsze powierzenie danych do przetwarzania
Strona 61 z 75
1. Podmiot przetwarzający może powierzyć dane osobowe objęte niniejszą umową do dalszego przetwarzania podwykonawcom jedynie w celu wykonania umowy po uzyskaniu uprzedniej pisemnej zgody Administratora danych.
2. Podwykonawca, o którym mowa w §5 ust. 1 Umowy winien spełniać te same gwarancje i obowiązki jakie zostały nałożone na Podmiot przetwarzający w niniejszej Umowie.
3. Podmiot przetwarzający może dokonać dalszego podpowierzenia danych dopiero w chwili uzyskania potwierdzenia, iż podwykonawca spełnia wymogi określone art. 28 i 32 RODO.
4. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za nie wywiązanie się ze spoczywających na podwykonawcy obowiązków ochrony danych.
§ 6
Odpowiedzialność Podmiotu przetwarzającego
1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
2. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora danych.
§7
Czas obowiązywania umowy
1. Niniejsza umowa obowiązuje prze okres trwania Umowy Głównej.
2. Każda ze stron może wypowiedzieć niniejszą umowę z dniem, z którym przestają być związane postanowienia Umowy Głównej
§8
Rozwiązanie umowy
Strona 62 z 75
1. Administrator danych może rozwiązać niniejszą umowę ze skutkiem natychmiastowym gdy Podmiot przetwarzający:
a) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie;
b) przetwarza dane osobowe w sposób niezgodny z umową;
c) powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora danych;
§9
Zasady zachowania poufności
1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora danych i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej.
2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
§10
Postanowienia końcowe
1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach dla każdej ze stron.
2. W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego oraz RODO.
3. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej umowy będzie sąd właściwy Administratora danych.
_______________________ ____________________
Administrator danych Podmiot przetwarzający
Strona 63 z 75
Załącznik nr 6 - Wzór ewidencji umów powierzenia danych
L.p. Nr umowy Data zawarcia
Okres obowiązywania
umowy Podmiot przetwarzający Zakres powierzonych
danych Cel powierzenia uwagi
Strona 64 z 75
Załącznik nr 7 - Wzór ewidencji udostępnionych danych EWIDENCJA UDOSTĘPNIANIA DANYCH
L.p.
Data udostępnie
nia danych
Podstawa prawna udostepnienia
Podmiot, któremu dane udostępniono (nazwa, adres)
Zakres udostępnionych danych
Podpis pracownika
Strona 65 z 75
Załącznik nr 8 - Wzór dokonania obowiązku informacyjnego
Zgodnie z art. 13 ust. 1 i ust. 2 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. informuję, iż:
1. administratorem Pani/Pana danych osobowych jest SP ZOZ MSWiA w Koszalinie z siedzibą w Koszalinie przy ulicy Szpitalna 2 (zwaną dalej SPZOZ);
2. Dane kontaktowe inspektora ochrony danych w SPZOZ - e-mail
3. Pani/Pana dane osobowe przetwarzane będą w celu … (*należy podać cel przetwarzania) na podstawie … (*należy podać podstawę prawną przetwarzania np.
art. 6 ust 1 pkt a/b/c/d/e/f, art. 9 ust 2 a)-j));
4. odbiorcą Pani/Pana danych osobowych będą … (*należy podać również podmioty przetwarzające);
5. Pani/Pana dane osobowe będą przechowywane przez okres … (* okres można ustalić na podstawie JRWA, jeżeli nie ma możliwości wskazania okresu przechowywania należy podać kryterium ustalania tego okresu np. do czasu wyłonienia zwycięscy konkursu, do czasu zakończenia rekrutacji itd.);
6. posiada Pani/Pan prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania (*jeżeli przetwarzanie odbywa się na podstawie zgody), którego dokonano na podstawie zgody przed jej cofnięciem;
7. ma Pan/Pani prawo wniesienia skargi do UODO gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r.;
8. podanie przez Pana/Panią danych osobowych jest … (*wybrać odpowiednio:
wymogiem ustawowym/warunkiem umownym/warunkiem zawarcia umowy). Jest Pan/Pani zobowiązana do ich podania a konsekwencją niepodania danych osobowych będzie … (* jeżeli osoba, której dane dotyczą, jest zobowiązana do ich podania należy wskazać ewentualne konsekwencje niepodania danych);
jeżeli występuje:
9. Pani/Pana dane będą przetwarzane w sposób zautomatyzowany w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie odbywało się na zasadach … , konsekwencją takiego przetwarzania będzie … (*należy wskazać istotne informacje o zasadach zautomatyzowanego podejmowania decyzji
Strona 66 z 75
oraz informacje o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.)
Strona 67 z 75
Załącznik nr 9 – Wzór dziennika dla systemów informatycznych