logo

Załącznik do regulaminu specjalisty

Załącznik nr 1 do Regulaminu – Umowa powierzenia przetwarzania danych osobowych

(„UPPD”)

 

zawarta z chwilą akceptacji Regulaminu pomiędzy:

Specjalistą – administratorem danych osób, których dane dotyczą, działającym zawodowo, dalej: „Podmiot Powierzający”,

a

Administratorem Portalu – operatorem Portalu [domena], działającym jako podmiot przetwarzający, dalej: „Podmiot Otrzymujący”.

Podmiot Powierzający i Podmiot Otrzymujący zwani łącznie „Stronami”, a każdy z osobna „Stroną”.

o następującej treści:

§ 1. Przedmiot, charakter, cel i czas trwania

 

  1. Podmiot Powierzający powierza Podmiotowi Otrzymującemu przetwarzanie danych osobowych w zakresie niezbędnym do świadczenia Usług Portalu określonych w Regulaminie, w szczególności do obsługi rezerwacji, komunikacji systemowej, prezentacji Profilu Specjalisty, rozliczeń opłat należnych Podmiotowi Otrzymującemu oraz zapewnienia bezpieczeństwa i ciągłości działania Portalu.
  2. Charakter operacji Podmiotu Otrzymującego ogranicza się do czynności technicznych niezbędnych do świadczenia hostingu i działania Portalu, w tym: gromadzenia, utrwalania, przechowywania, wykonywania kopii zapasowych, transmisji, buforowania, udostępniania wyłącznie upoważnionym użytkownikom, oraz usuwania lub anonimizacji. Podmiot Otrzymujący nie dokonuje merytorycznej obróbki danych, nie profiluje i nie podejmuje decyzji wobec osób, których dane dotyczą.
  3. Cel przetwarzania: wykonanie umowy o świadczenie usług drogą elektroniczną (Regulamin), w tym zapewnienie technicznej dostępności Portalu, jego bezpieczeństwa i rozliczalności oraz rozliczeń należnych Podmiotowi Otrzymującemu. Podmiot Otrzymujący nie przetwarza żadnych danych dla własnych celów.
  4. Czas trwania: przez okres obowiązywania umowy łączącej Strony oraz przez czas wymagany przepisami prawa lub uzasadniony obroną roszczeń i retencją kopii zapasowych.

 

§ 2. Kategorie osób i rodzaje danych

 

  1. Kategorie osób: Pacjenci i osoby zainteresowane wizytą, ich opiekunowie prawni, osoby kontaktujące się w sprawie świadczeń Podmiotu Powierzającego.
  2. Rodzaje danych: dane identyfikacyjne i kontaktowe, dane o rezerwacjach i preferencjach terminów, metadane komunikacji, identyfikatory systemowe, dane rozliczeniowe w zakresie niezbędnym do funkcji Portalu; w minimalnym niezbędnym zakresie – dane szczególnych kategorii dotyczące zdrowia, jeżeli Podmiot Powierzający wprowadzi je do przewidzianych do tego funkcji Portalu.
  3. Podmiot Powierzający zapewnia legalność i minimalizację zakresu danych powierzanych Podmiotowi Otrzymującemu.

 

§ 3. Obowiązki Podmiotu Otrzymującego (art. 28 ust. 3 RODO)

 

  1. Przetwarzanie odbywa się wyłącznie na udokumentowane polecenie Podmiotu Powierzającego, w tym w zakresie transferów poza EOG, chyba że obowiązek przetwarzania wynika z prawa Unii lub państwa członkowskiego; w takim wypadku Podmiot Otrzymujący informuje o tym Podmiot Powierzający, o ile prawo na to pozwala.
  2. Osoby upoważnione do przetwarzania po stronie Podmiotu Otrzymującego są zobowiązane do zachowania poufności.
  3. Podmiot Otrzymujący stosuje odpowiednie środki techniczne i organizacyjne zgodne z art. 32 RODO, obejmujące co najmniej: szyfrowanie transmisji i – gdy to możliwe – danych w spoczynku, kontrolę dostępu RBAC i zasadę minimalnych uprawnień, rejestrowanie zdarzeń, segmentację środowisk, kopie zapasowe i plan odtwarzania, okresowe testy bezpieczeństwa. Ogólny opis środków udostępniany jest na żądanie.
  4. Podmiot Otrzymujący wspiera Podmiot Powierzający – w zakresie adekwatnym do charakteru przetwarzania oraz dostępnych informacji – przy:
    1. realizacji praw osób, których dane dotyczą,
    2. bezpieczeństwie przetwarzania i zgłaszaniu naruszeń,
    3. ocenie skutków (DPIA) i ewentualnych konsultacjach z organem nadzorczym.
      Wsparcie ponad standard operacyjny Portalu jest odpłatne według stawek Podmiotu Otrzymującego.
  5. Po zakończeniu świadczenia Usług Portalu Podmiot Otrzymujący – na instrukcję Podmiotu Powierzającego – usuwa lub zwraca dane oraz usuwa ich kopie, chyba że prawo wymaga dalszego przechowywania; kopie zapasowe mogą ulec nadpisaniu zgodnie z polityką retencji Podmiotu Otrzymującego.

 

§ 4. Podprzetwarzający

 

  1. Podmiot Powierzający udziela ogólnego upoważnienia do korzystania przez Podmiot Otrzymujący z podprzetwarzających (hosting, chmura, CDN, bezpieczeństwo, monitoring, analityka, komunikacja systemowa, wsparcie techniczne). Aktualna lista kategorii lub podmiotów jest publikowana w Panelu Specjalisty lub w Polityce Prywatności i może być uaktualniana.
  2. Podmiot Otrzymujący nakłada na podprzetwarzających obowiązki co najmniej równoważne niniejszej Umowie i ponosi wobec Podmiotu Powierzającego pełną odpowiedzialność za ich działania i zaniechania w zakresie powierzonym.
  3. Podmiot Powierzający może wnieść uzasadniony sprzeciw wobec dodania istotnie nowego podprzetwarzającego w terminie 7 dni od powiadomienia; brak sprzeciwu oznacza akceptację. W razie skutecznego sprzeciwu Strony dążą do wypracowania rozwiązania organizacyjnego; jeżeli nie jest to możliwe, Podmiot Powierzający może wypowiedzieć Umowę w części, której sprzeciw dotyczy.

 

§ 5. Naruszenia ochrony danych

 

  1. Podmiot Otrzymujący zgłasza Podmiotowi Powierzającemu naruszenie ochrony danych dotyczące powierzonych danych bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od stwierdzenia, przekazując znane informacje o charakterze zdarzenia, możliwych konsekwencjach, kategoriach osób i danych oraz podjętych środkach zaradczych; uzupełnienia przekazywane są niezwłocznie po ich ustaleniu.
  2. Obowiązki notyfikacyjne wobec organu i osób wypełnia Podmiot Powierzający, z uwzględnieniem wsparcia Podmiotu Otrzymującego zgodnie z § 3 ust. 4.

 

§ 6. Sposób przetwarzania danych

 

  1. Przetwarzanie odbywa się co do zasady na terytorium EOG.
  2. Transfer poza EOG jest dopuszczalny wyłącznie z zastosowaniem odpowiednich zabezpieczeń w rozumieniu rozdziału V RODO, w tym standardowych klauzul umownych (SCC) lub decyzji stwierdzającej odpowiedni poziom ochrony.
  3. Przetwarzanie przez Podmiot Otrzymujący ma charakter magazynowania/hostingu. Dostęp personelu Podmiotu Otrzymującego do treści danych jest co do zasady niedokonywany, a jeżeli wystąpi, to wyłącznie incydentalnie i w zakresie koniecznym do: usunięcia awarii, zapewnienia bezpieczeństwa, wykonania kopii/odtworzenia danych, realizacji udokumentowanych instrukcji, wykonania prawnie skutecznych żądań organów lub procedury przewidzianej Regulaminem.
  4. Podmiot Otrzymujący nie łączy danych powierzonych z innymi zbiorami dla własnych celów, nie profiluje i nie kontaktuje się bezpośrednio z osobami, których dane dotyczą, chyba że wymaga tego prawo lub udokumentowana instrukcja Podmiotu Powierzającego.

 

§ 7. Odpowiedzialność i koszty

 

  1. Każda ze Stron odpowiada za wykonanie obowiązków nałożonych na nią przez prawo, w tym RODO i niniejszą Umowę w zakresie własnego działania.
  2. Podmiot Powierzający odpowiada za legalność przetwarzania, w tym podstawy prawne, treść i zakres instrukcji, prawidłowość i adekwatność danych oraz realizację obowiązków informacyjnych wobec osób, których dane dotyczą.
  3. Jeżeli roszczenie osoby trzeciej lub organu wynika z bezprawnej instrukcji Podmiotu Powierzającego albo z naruszenia przez niego obowiązków, Podmiot Powierzający zobowiązuje się zwolnić Podmiot Otrzymujący od odpowiedzialności i pokryć uzasadnione koszty obrony oraz ewentualne świadczenia, w zakresie w jakim szkoda nie została zawiniona przez Podmiot Otrzymujący.
  4. Odpowiedzialność Podmiotu Otrzymującego wobec Podmiotu Powierzającego z tytułu naruszenia niniejszej Umowy – z wyłączeniem winy umyślnej – jest ograniczona do łącznej kwoty opłat faktycznie zapłaconych Podmiotowi Otrzymującemu przez Podmiot Powierzający za Usługi Portalu w okresie 3 miesięcy poprzedzających zdarzenie. Wyłączona jest odpowiedzialność za utracone korzyści.
  5. Czynności wykraczające poza standardowy zakres wsparcia (m.in. niestandardowe audyty, ekstrakcje danych, dedykowane analizy bezpieczeństwa) są wykonywane na zlecenie i koszt Podmiotu Powierzającego.

 

§ 8. Instrukcje i komunikacja

 

  1. Instrukcje dotyczące przetwarzania danych przekazywane są przez Panel Specjalisty lub na dedykowany adres kontaktowy wskazany przez Podmiot Otrzymujący.
  2. Podmiot Otrzymujący może odmówić wykonania instrukcji sprzecznej z prawem lub zagrażającej bezpieczeństwu systemów, informując o przyczynach odmowy.
  3. Strony dopuszczają utrwalanie logów i metadanych czynności przetwarzania w celach dowodowych, bezpieczeństwa i rozliczalności.

 

§ 9. Zakończenie przetwarzania

 

  1. Niniejsza Umowa rozwiązuje się wraz z zakończeniem umowy na Usługi Portalu pomiędzy Podmiotem Powierzającym a Podmiotem Otrzymującym.
  2. Po zakończeniu świadczenia Usług Portalu Podmiot Otrzymujący wedle instrukcji Podmiotu Powierzającego usuwa lub zwraca dane w powszechnie używanym formacie nadającym się do odczytu maszynowego, o ile zwrot lub usunięcie nie narusza przepisów prawa, ani bezpieczeństwa środowiska kopii zapasowych.
  3. Postanowienia dotyczące poufności, odpowiedzialności oraz retencji kopii zapasowych pozostają w mocy po zakończeniu przetwarzania w niezbędnym zakresie.

 

§ 10. Postanowienia końcowe

 

  1. Niniejsza Umowa stanowi inny instrument prawny w rozumieniu art. 28 ust. 3 RODO i zostaje zawarta poprzez akceptację Regulaminu pn. REGULAMIN ŚWIADCZENIA USŁUG PLATFORMY OGŁOSZENIOWEJ DLA SPECJALISTÓW MEDYCYNY LUB PSYCHOLOGII.
  2. W razie sprzeczności pomiędzy Umową a Regulaminem, w zakresie ochrony danych pierwszeństwo mają postanowienia niniejszej Umowy.
  3. Podmiot Otrzymujący może zmienić niniejszą Umowę w trybie właściwym dla zmiany Regulaminu, przy zachowaniu odpowiedniego wyprzedzenia informacyjnego. Dalsze korzystanie z Portalu po dacie wejścia w życie zmian oznacza ich akceptację przez Podmiot Powierzający, z prawem wypowiedzenia Umowy w części dotyczącej przetwarzania danych, jeżeli wykaże, że zmiana istotnie i negatywnie wpływa na jego zgodność z RODO.
  4. Do Umowy stosuje się prawo polskie oraz jurysdykcję sądów powszechnych właściwych dla siedziby Podmiotu Otrzymującego.
  5. Nieważność lub bezskuteczność poszczególnych postanowień nie wpływa na ważność pozostałych. Strony zobowiązują się zastąpić takie postanowienia regulacją możliwie najbliższą celowi i treści pierwotnej.