UMOWA POWIERZENIA

Preambuła:
Umowa Powierzenia stanowi integralną część Umowy Licencji i określa zasady przetwarzania przez Licencjodawcę na zlecenie Licencjobiorcy Danych Osobowych Pacjentów oraz Danych Osobowych Użytkowników za pośrednictwem Aplikacji. Pojęcia użyte w Umowie Powierzenia i pisane wielką literą mają znaczenie przypisane im w treści Umowy Licencji. Umowa Powierzenia stanowi całość zobowiązań oraz warunków powierzenia przetwarzania Danych Osobowych Klientów oraz danych osobowych personelu Licencjobiorcy w związku z korzystaniem przez Licencjobiorcę z Aplikacji.

§ 1 POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

1. Na mocy niniejszej umowy Licencjobiorca powierza Przetwarzającemu, a Przetwarzający przyjmuje do przetwarzania, w trybie art. 28 RODO – dane osobowe wprowadzane do Aplikacji CEREZ na zasadach i w celu określonym w niniejszej umowie (Dane Osobowe Klientów, Dane Osobowe Użytkowników).
2. Licencjobiorca oświadcza, iż jest uprawniony do powierzenia Przetwarzającemu danych osobowych w zakresie wskazanym w niniejszej umowie.
3. Przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą umową, RODO oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
4. Zawarcie niniejszej Umowy Powierzenia stanowi udokumentowane polecenie Licencjobiorcy do przetwarzania przez Przetwarzającego danych osobowych, o których mowa w § 2 niniejszej umowy, w tym do przekazywania ich do państw trzecich, o którym mowa w art. 28 ust. 3 lit. a) RODO.
5. Przetwarzający będzie przetwarzać dane osobowe na obszarze Europejskiego Obszaru Gospodarczego oraz może przekazywać dane osobowe do państw trzecich.
6. Licencjobiorca oświadcza, iż dane osobowe powierzane na mocy niniejszej umowy zostały przez niego pozyskane w sposób zgodny z RODO i innymi powszechnie obowiązującymi przepisami prawa, w szczególności iż jest upoważniony do ich przetwarzania na podstawie zgód osób, których dane dotyczą. Licencjobiorca, przed wprowadzeniem do Aplikacji Danych Osobowych Klientów, jest zobowiązany do uzyskania od każdego z nich stosownej zgody w formie pisemnej oraz do poinformowania go o zasadach, warunkach i sposobach gromadzenia, jak i przechowywania danych osobowych oraz, że przetwarzanie tych danych dokonuje Przetwarzający. Brak uzyskania takiej zgody oraz brak poinformowania Przetwarzającego przez Licencjobiorcę o cofnięciu takiej zgody lub jej ograniczeniu zwalnia Przetwarzającego od odpowiedzialności za naruszenia przepisów w tym zakresie. Nadto, Licencjobiorca jest zobowiązany poinformować Przetwarzającego o cofnięciu upoważnienia do przetwarzania danych osobowych dla Użytkownika celem zablokowania mu dostępu do Aplikacji CEREZ.
7. Licencjobiorca zobowiązuje się współdziałać z Przetwarzającym w wykonaniu niniejszej umowy, w tym udzielać mu wyjaśnień w razie wątpliwości co do legalności poleceń Licencjobiorcy.

§ 2 ZAKRES I CEL PRZETWARZANIA DANYCH

1. Przetwarzający będzie przetwarzał, powierzone na podstawie umowy, następujące dane:
   1. dane zwykłe w postaci: imion i nazwisk, adresu, numeru telefonu personelu Administratora (Dane Osobowe Użytkowników);
   2. dane zwykłe w postaci: imion i nazwisk, nazw, adresu, danych rozliczeniowych, numerów telefonów Klientów Administratora (Dane Osobowe Klientów);
2. Dane osobowe powierzone przez Administratora danych będą przetwarzane przez Przetwarzającego wyłącznie w celu realizacji Umowy Licencji w zakresie niezbędnym do prawidłowego korzystania z Aplikacji CEREZ.  
3. Przetwarzający będzie przetwarzał powierzone mu dane osobowe w formie elektronicznej w Aplikacji CEREZ.
4. Na zasadach niniejszej umowy Przetwarzający zobowiązuje się przetwarzać powierzone mu dane wyłącznie w zakresie i w celu świadczenia usług szczegółowo opisanych w Umowie licencji, w tym w związku z udzieleniem licencji i umożliwieniem korzystania przez Użytkowników z Aplikacji.
5. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania danych osobowych oraz ryzyko naruszenia praw osób, których dane dotyczą, Przetwarzający zapewni środki techniczne i organizacyjne adekwatne do ryzyka naruszenia praw osób, których  dane dotyczą.
6. Strony uzgodniły następujące środki bezpieczeństwa przetwarzania danych osobowych: 
   1. zapewnienie bezpieczeństwa pomieszczeń – Przetwarzający wydzielił obszary bezpieczne, w których przetwarzane są dane osobowe, zastosował odpowiednie środki bezpieczeństwa, tj. kontrolę dostępu, zarządzanie i monitorowanie upoważnień do dostępu;
   2. zapewnienie bezpieczeństwa organizacyjnego – formalnie określone i przydzielone zakresy odpowiedzialności za bezpieczeństwo, szkolenie pracowników w zakresie bezpieczeństwa danych, postępowania w celu przyznania uprawnień dostępu do systemów informacyjnych przetwarzających dane, procedury zarządzania i ostrzegania o naruszeniu bezpieczeństwa albo o wiążących wezwaniach mających wpływ na dane, 
   3. zapewnienie bezpieczeństwa informatycznego – umacnianie ochrony systemu operacyjnego środowisk informatycznych, procedura wprowadzania poprawek do oprogramowania, podział architektury sieci/partycjonowanie struktur sieci (VLAN) i stosowanie zapór sieciowych (firewall), czujniki antywłamaniowe, kontrola dostępu poprzez autoryzację, polityka haseł dostępu.
   4. szyfrowanie danych osobowych przechowywanych zgodnie z wymogami aktualnego poziomu rozwoju technicznego w danej dziedzinie (poprzez wybór sposobów i wielkości kluczy zabezpieczeń, zarządzanie informacjami objętymi tajemnicą),
   5. zapewnienie bezpieczeństwa przepływu danych osobowych (szyfrowanie, uwierzytelnianie) w sposób, który uniemożliwia wykorzystanie danych przez nieuprawnione osoby trzecie.  
   6. wdrożenie procedur kontrolnych mających zagwarantować utrzymywanie poziomu bezpieczeństwa przez dłuższy czas; polityka bezpieczeństwa ochrony danych osobowych.

§ 3 OBOWIĄZKI PRZETWARZAJĄCEGO

1. Przetwarzający zobowiązuje się do zabezpieczenia powierzonych danych osobowych poprzez zastosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO.
2. Przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
3. Przetwarzający oświadcza, iż przeprowadził analizę ryzyka przetwarzania powierzonych danych osobowych, a nadto iż zobowiązuje się w szczególności do prowadzenia rejestru czynności przetwarzania i udostępniania go Licencjobiorcy danych w zakresie, w jakim nie obejmuje tajemnicy handlowej Przetwarzającego oraz zobowiązuje się do wyznaczenia Inspektora Ochrony Danych, jeśli taki obowiązek wynika z przepisów RODO.
4. Przetwarzający zobowiązuje się do ograniczenia dostępu do danych osobowych wyłącznie do osób, których dostęp do danych jest niezbędny oraz do nadania pisemnych upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy, a także do zapewnienia im niezbędnych szkoleń z zasad ochrony danych osobowych, w tym z wymogów przewidzianych w Rozporządzeniu.
5. Przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, o której mowa w art. 28 ust. 3 pkt b) RODO, danych osobowych przetwarzanych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.
6. Przetwarzający zobowiązuje się pomagać Licencjobiorcy w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 Rozporządzenia. 
7. Przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych zgłasza je Licencjobiorcy w ciągu 48 godzin od stwierdzenia naruszenia.
8. Przetwarzający po powzięciu wątpliwości co do poleceń Licencjobiorcy zobowiązany jest natychmiast zgłosić ten fakt Licencjobiorcy, pod rygorem utraty możliwości dochodzenia przeciw niemu roszczeń z tego tytułu.
9. Przetwarzający zobowiązuje się stosować do wymogu tzw. projektowania prywatności, o którym mowa w art. 25 ust. 1 RODO i będzie z wyprzedzeniem informować Licencjobiorcę o planowanych zmianach w zakresie sposobu przetwarzania danych osobowych w taki sposób i w takich terminach, aby zapewnić mu możliwość reagowania, jeżeli zamierzone przez Przetwarzającego zmiany stanowią zdaniem Licencjobiorcy realne zagrożenie dla bezpieczeństwa danych osobowych lub zwiększają ryzyko naruszenia praw lub wolności osób, wskutek przetwarzania danych przez Przetwarzającego.

§ 4 PRAWO KONTROLI

1. Licencjobiorca zgodnie z art. 28 ust. 3 pkt h) RODO ma prawo kontroli, czy środki zastosowane przez Przetwarzającego przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy. 
2. Licencjobiorca realizować będzie prawo kontroli w godzinach pracy Przetwarzającego i z minimum 14-dniowym jego uprzedzeniem.
3. Kontrola będzie się odbywać w miejscu i czasie wskazanym przez Przetwarzającego, w sposób niezakłócający pracy i nie powodujący zagrożenia naruszenia tajemnicy przedsiębiorstwa Przetwarzającego ani poufności danych osobowych przetwarzanych w Aplikacji.
4. Przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli.

§ 5 DALSZE POWIERZENIE DANYCH DO PRZETWARZANIA

1. Licencjobiorca wyraża zgodę na korzystanie przez Przetwarzającego z usług podwykonawców (podprzetwarzających) przy przetwarzaniu danych osobowych zgodnie z art. 28 ust 2 RODO w celu prawidłowego wykonania Umowy Licencji, w tym zapewnienia określonych funkcjonalności oraz bezpieczeństwa Aplikacji.
2. Przetwarzający informuje Licencjobiorcę o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia podwykonawców, dając tym samym Licencjobiorcy możliwość wyrażenia sprzeciwu wobec takich zmian.
3. Podwykonawca, o którym mowa w ust. 1 powyżej, powinien spełniać te same co najmniej gwarancje i obowiązki, a także zapewniać te same środki bezpieczeństwa, jakie zostały nałożone na Przetwarzającego w niniejszej umowie. 
4. Przetwarzający ponosi odpowiedzialność wobec Licencjobiorcy za nie wywiązanie się ze spoczywających na podwykonawcy obowiązków w zakresie ochrony danych.

§ 6 ODPOWIEDZIALNOŚĆ PRZETWARZAJĄCEGO

1. Przetwarzający jest odpowiedzialny za szkody spowodowane swoim działaniem w związku z niedopełnieniem obowiązków wynikających z niniejszej umowy, RODO, innych powszechnie obowiązujących przepisów prawa dotyczących ochrony danych osobowych, lub gdy działał poza zgodnymi z prawem instrukcjami Administratora danych lub wbrew tym instrukcjom, a także za szkody spowodowane zastosowaniem lub niezastosowaniem właściwych środków bezpieczeństwa.
2. Przetwarzający zobowiązuje się do niezwłocznego poinformowania Licencjobiorcy o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Przetwarzającego danych osobowych określonych w umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Przetwarzającego. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Licencjobiorcę. 
3. Odpowiedzialność podmiotu przetwarzającego jest ograniczona do wartości 3-krotności Opłaty Licencyjnej za ostatni Okres Rozliczeniowy.

§ 7 OBOWIĄZYWANIE UMOWY

1. Niniejsza umowa zostaje zawarta na czas obowiązywania Umowy licencji, przy czym niniejsza umowa ulega rozwiązaniu w każdym przypadku jej wygaśnięcia lub rozwiązania.
2. Z chwilą rozwiązania niniejszej umowy Przetwarzający traci prawo do przetwarzania powierzonych danych i jest zobowiązany do trwałego usunięcia wszelkich danych osobowych oraz do trwałego usunięcia wszelkich ich istniejących kopii, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. Przetwarzający jest zobowiązany do trwałego usunięcia wszelkich danych osobowych w terminie do 3 miesięcy od dnia rozwiązania Umowy.
3. Przetwarzający może przetwarzać dane osobowe wyłącznie przez okres obowiązywania Umowy Licencji oraz przez okres od rozwiązania lub wygaśnięcia Umowy Licencji do czasu usunięcia danych osobowych zgodnie z niniejszą umową, chyba że Licencjobiorca oraz Przetwarzający ustalą inny termin przetwarzania danych w drodze odrębnego porozumienia.

§ 8 ZASADY ZACHOWANIA POUFNOŚCI

1. Przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich danych osobowych wprowadzonych do Aplikacji, informacji stanowiących tajemnicę przedsiębiorstwa Licencjobiorcy oraz informacji otrzymanych od Licencjobiorcy oznaczonych „dane poufne”.
2. Przetwarzający oświadcza, że w związku ze zobowiązaniem zachowania poufności, o którym mowa w ust. 1 powyżej, wymienione powyżej dane i informacje nie będą wykorzystywane, ujawniane ani udostępniane bez zgody Licencjobiorcy w innym celu niż wykonanie niniejszej umowy, chyba że konieczność ujawnienia posiadanych danych czy informacji będzie wynikać z obowiązujących przepisów prawa lub umowy.
3. Przetwarzający zobowiązuje się uzyskać od osób, które zostały upoważnione do przetwarzania danych osobowych, pisemne zobowiązanie do zachowania danych poufnych w tajemnicy, chyba że na podstawie przepisów prawa osoby te podlegają ustawowemu obowiązkowi zachowania tajemnicy.

§ 9 POSTANOWIENIA KOŃCOWE

1. W kwestiach dotyczących zmiany treści niniejszej umowy, rozstrzygania sporów oraz innych kwestii nieuregulowanych w niniejszej umowie zastosowanie znajdują postanowienia zawarte w Umowie Licencji.
2. W przypadku sprzeczności pomiędzy postanowieniami niniejszej umowy a Umowy Licencji, pierwszeństwo będą miały postanowienia niniejszej Umowy Powierzenia.
3. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej umowy będzie sąd właściwy wedle siedziby Przetwarzającego.
4. Niniejsza umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednej dla każdej ze Stron.