Umowa powierzenia przetwarzania danych zawarta pomiędzy: (zwaną dalej „Umową”)
AIDMED sp. z o.o. zwana dalej „Przetwarzającym” oraz
Klientem, zwanym dalej „Administratorem danych” lub „Administratorem”
1. Powierzenie przetwarzania danych osobowych
1.1 Administrator powierza Przetwarzającemu, zgodnie z art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „GDPR”), dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej Umowie.
1.2 Przetwarzający zobowiązuje się do przetwarzania powierzonych mu danych osobowych zgodnie z niniejszą Umową, GDPR oraz innymi powszechnie obowiązującymi przepisami prawa, które chronią prawa osób, których dane dotyczą.
1.3 Przetwarzający oświadcza, że stosuje środki bezpieczeństwa spełniające wymogi GDPR.
2. Zakres i cel przetwarzania danych
2.1 Przetwarzający będzie przetwarzał dane osobowe pacjentów Administratora powierzone na podstawie niniejszej Umowy, w tym między innymi: imię i nazwisko, adres e-mail, numer telefonu, datę urodzenia, adres zamieszkania oraz numer identyfikacji osobowej.
2.2 Powierzone przez Administratora dane osobowe będą przetwarzane przez Przetwarzającego wyłącznie w celu umożliwienia Administratorowi zbierania parametrów życiowych od swoich pacjentów, wyświetlania wyników i przeprowadzania diagnostyki lub innych usług. Przetwarzający może kontaktować się z pacjentami Administratora w celu zapewnienia pomocy technicznej w przypadku wystąpienia problemów.
3. Sposób wykonania umowy o przetwarzanie danych osobowych
3.1 Przetwarzający przy przetwarzaniu powierzonych danych osobowych zobowiązuje się do ich zabezpieczenia za pomocą odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny poziom bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o którym mowa w art. 32 GDPR.
3.2 Przetwarzający dochowa należytej staranności przy przetwarzaniu powierzonych danych osobowych.
3.3 Przetwarzający udzieli upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzać powierzone dane w celu realizacji niniejszej umowy.
3.4 Przetwarzający zapewni zachowanie poufności (o której mowa w art. 28 ust. 3 lit. b GDPR) przetwarzanych danych przez osoby, które Przetwarzający upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej umowy, zarówno w okresie ich zatrudnienia u Przetwarzającego, jak i po jego ustaniu.
3.5 Przetwarzający, po zakończeniu świadczenia usług związanych z przetwarzaniem według uznania Administratora, usunie lub zwróci Administratorowi wszelkie Dane Osobowe oraz usunie wszelkie ich istniejące kopie, chyba że prawo UE nakazuje zatrzymanie Danych Osobowych.
3.6 W miarę możliwości Przetwarzający pomaga Administratorowi w zakresie niezbędnym do wypełnienia obowiązku odpowiadania na żądania osoby, której dane dotyczą, oraz do wypełnienia obowiązków określonych w art. 32-36 GDPR.
3.7 Po wykryciu naruszenia ochrony danych osobowych Przetwarzający bez zbędnej zwłoki powiadamia Administratora o takim naruszeniu w ciągu 48 godzin.
4. Prawo do kontroli
4.1 Na podstawie Art. 28 ust. 3 lit. h) GDPR, Administrator ma prawo do kontroli, czy środki stosowane przez Przetwarzającego przy przetwarzaniu i zabezpieczaniu powierzonych danych osobowych spełniają postanowienia umowy.
4.2 Administrator korzysta z prawa do kontroli w godzinach pracy Przetwarzającego i z co najmniej 7-dniowym wyprzedzeniem.
4.3 Przetwarzający zobowiązany jest do usunięcia uchybień stwierdzonych podczas audytu w terminie wskazanym przez Administratora danych, nie dłuższym niż 7 dni.
4.4. Przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do udowodnienia wypełnienia obowiązków określonych w art. 28 GDPR.
5. Podwykonawstwo
5.1 Przekazanie podpowierzonych danych do państwa trzeciego może nastąpić wyłącznie na pisemne polecenie Administratora Danych, chyba że obowiązek taki nakłada na Przetwarzającego prawo UE lub prawo państwa członkowskiego, któremu podlega Przetwarzający. W takim przypadku, przed rozpoczęciem przetwarzania, Przetwarzający poinformuje Administratora Danych o tym obowiązku prawnym, chyba że prawo to zakazuje takiej informacji ze względu na ważny interes publiczny.
5.2 Podwykonawca, o którym mowa w 5.1 Umowy, spełnia te same gwarancje i obowiązki, które zostały nałożone na Przetwarzającego w niniejszej Umowie.
5.3 Przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niedopełnienie przez podwykonawcę obowiązków w zakresie ochrony danych osobowych.
6. Odpowiedzialność Przetwarzającego
6.1 Przetwarzający ponosi odpowiedzialność za udostępnienie lub wykorzystanie danych osobowych niezgodnie z umową, w szczególności za udostępnienie danych osobowych osobom nieupoważnionym.
6.2 Przetwarzający niezwłocznie powiadomi Administratora danych o wszelkich postępowaniach, w szczególności administracyjnych lub sądowych, dotyczących przetwarzania przez Przetwarzającego danych osobowych określonych w umowie, o wszelkich decyzjach administracyjnych lub orzeczeniach dotyczących przetwarzania tych danych, skierowanych do Przetwarzającego, a także o planowanych, o ile są znane, lub przeprowadzonych audytach i kontrolach dotyczących przetwarzania tych danych osobowych u Przetwarzającego, w szczególności przez inspektorów upoważnionych przez Generalnego Inspektora Ochrony Danych Osobowych / Prezesa Urzędu Ochrony Danych Osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora.
7. Czas trwania umowy
7.1 Niniejsza umowa zawarta jest na czas nieokreślony i ulega rozwiązaniu z dniem rozwiązania Umowy o świadczenie usług abonamentowych zawartej pomiędzy Administratorem a Przetwarzającym w związku z korzystaniem z USŁUG AIDMED.
7.2 Umowa nie może być rozwiązana oddzielnie, pozostaje w mocy tak długo jak umowa określona w punkcie 7.1.
7.3 Administrator może rozwiązać niniejszą umowę ze skutkiem natychmiastowym, gdy Przetwarzający pomimo zobowiązania do usunięcia uchybień stwierdzonych podczas audytu, nie usunie ich w wyznaczonym terminie; przetwarza dane osobowe w sposób niezgodny z umową; powierza przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora.
Zasady zachowania poufności
8.1 Przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora danych oraz od osób współpracujących z Administratorem danych, a także danych uzyskanych w jakikolwiek inny sposób, zamierzony lub przypadkowy, w formie ustnej, pisemnej lub elektronicznej („Dane poufne”).
8.2 Przetwarzający oświadcza, że w związku z obowiązkiem zachowania poufności Danych Poufnych, nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora Danych w żadnym innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy. Przetwarzający jest uprawniony do korzystania z danych zanonimizowanych w celu rozwoju algorytmów, obliczeń i poprawy jakości Usługi.
8.3 Strony zobowiązują się dołożyć wszelkich starań, aby środki komunikacji wykorzystywane do odbierania, przekazywania i przechowywania danych poufnych gwarantowały ochronę danych poufnych, w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieuprawnionych do zapoznania się z ich treścią.
9. Postanowienia końcowe.
9.1 Niniejsza umowa została zawarta na podstawie środków porozumiewania się na odległość (art. 60 Kodeksu cywilnego Rzeczpospolita Polska) .
9.2 W sprawach nieuregulowanych w niniejszej umowie zastosowanie mają przepisy Kodeksu cywilnego oraz GDPR.
9.3 Sądem właściwym dla rozpatrywania sporów wynikających z niniejszej Umowy jest sąd właściwy dla Przetwarzającego.
