Powierzenie danych osobowych do przetwarzania w IT Apteka


 

Powierzenie danych osobowych do przetwarzania w ITApteka

(zwana dalej „Umową”)

zawarta pomiędzy:

Podmiotem dokonującym rejestracji w Portalu kont Użytkowników 

Dalej zwanym „Licencjobiorcą

oraz

FarmaProm Polska Spółka z ograniczoną odpowiedzialnością Spółka komandytowa z siedzibą w Krakowie, ul. Czerwieńskiego 12, 31-319 Kraków, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla Krakowa Śródmieścia w Krakowie, XI Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000320159, NIP 6792878855

Dalej zwaną „FarmaProm

Dalej łącznie zwanymi „Stronami” lub pojedynczo „Stroną”.

Mając na uwadze, że:

a) Na podstawie niezależnej umowy i/lub regulaminu Licencjobiorca korzysta z portalu internetowego www.itapteka.pl (dalej: „Umowa Główna”), której przedmiotem jest realizacja przez FarmaProm na rzecz Licencjobiorcy usług elektronicznych,
b) usługi świadczone przez FarmaProm w ramach Umowy Głównej są związane z wykonywaniem przez FarmaProm operacji na danych osobowych w imieniu Licencjobiorcy,
c) Licencjobiorca, jako administrator danych osobowych jest obowiązany zapewnić, iż przetwarzanie przez FarmaProm danych osobowych w jego imieniu odbywa się zgodnie z art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) od dnia jego stosowania.

Strony postanowiły zawrzeć Umowę o następującej treści:

§ 1 

Definicje

Użyte w umowie określenia będą  miały następujące znaczenie:

  1. Rozporządzenie (UE) 2016/679 – oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
  2. Usługi – oznaczają usługi, o których mowa w Umowie Głównej;
  3. administrator – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; 
  4. dane osobowe – oznacza dane osobowe w rozumieniu art. 6 Ustawy oraz art. 4 pkt 1) Rozporządzenia (UE) 2016/679, tj. wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
  5. naruszenie ochrony Danych Osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych Osobowych;
  6. organ nadzorczy – organ nadzorczy, niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51 Rozporządzenia (UE) 2016/679;
  7. przetwarzanie – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
  8. podmiot przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
  9. państwo trzecie – oznacza państwo nienależące do Europejskiego Obszaru Gospodarczego;
  10. Portal – pozostający w dyspozycji FarmaProm, dostępny w domenie www.itapteka.pl, przeznaczony dla użytkowników system stanowiący zespół współpracujących ze sobą urządzeń i aplikacji informatycznych przeznaczonych do przetwarzania (w tym przechowywania) danych, udostępniony za pośrednictwem przeglądarki internetowej, w postaci zbioru wzajemnie powiązanych stron internetowych, linków i mechanizmów interaktywnych oraz inne strony internetowe współpracujące z tym systemem, których producentem jest FarmaProm, w szczególności www.farmaprom.pl.

§ 2 

Przedmiot Umowy

  1. Przedmiotem niniejszej Umowy jest określenie zasad przetwarzania oraz zabezpieczania danych osobowych, które FarmaProm przetwarza w imieniu Licencjobiorcy.

§ 3

Dane osobowe przetwarzane przez FarmaProm w imieniu Licencjobiorcy

1. Licencjobiorca, jako administrator powierza FarmaProm przetwarzanie danych osobowych (dalej „Dane Osobowe”) na potrzeby świadczenia Usług, do których realizacji FarmaProm zobowiązał się w Umowie Głównej.
2. FarmaProm, jako podmiot przetwarzający przyjmuje Dane Osobowe do przetwarzania i zobowiązuje się je przetwarzać w imieniu Licencjobiorcy na zasadach określonych w niniejszej Umowie.
3. Powierzone FarmaProm Dane Osobowe obejmują dane przetwarzane w Portalu oraz w inny sposób przekazywane FarmaProm w celu odbycia konsultacji lub uzyskania wsparcia, w szczególności dane pracowników Licencjobiorcy, współpracowników Licencjobiorcy i partnerów biznesowych Licencjobiorcy, dane osób kontaktujących się z FarmaProm w imieniu Licencjobiorcy w związku z prowadzoną współpracą.
4. Na Dane Osobowe powierzone FarmaProm mogą składać się w szczególności:
 
a) Dane Osobowe osób korzystających z Portalu w imieniu Licencjobiorcy lub kontrahentów Licencjobiorcy (dalej „Użytkownicy”) w możliwym zakresie:
– imię i nazwisko Użytkownika, 
– nr telefonu kontaktowego Użytkownika,
– adres e-mail Użytkownika,
– login Użytkownika,
– teren/miejsce pracy Użytkownika,
– stanowisko/rola Użytkownika,
– numery IP,
 
b) Oraz – o ile dotyczy – Dane Osobowe przetwarzanie w oprogramowaniu ITApteka Powiadomienia w możliwym zakresie:
– imię i nazwisko osoby instalującej,
– adres mailowy osoby instalującej,
– numer telefonu osoby instalującej,
– imię, nazwisko, tytuł naukowy osób dokonujących w imieniu Licencjobiorcy lub kontrahentów Licencjobiorcy operacje w systemie aptecznym.
 
5. FarmaProm jest uprawniony do wykonywania na Danych Osobowych wszelkich zautomatyzowanych lub niezautomatyzowanych operacji przetwarzania uzasadnionych i niezbędnych dla realizacji Usług, które mogą obejmować m.in.: zbieranie, utrwalanie, organizowanie, porządkowanie, aktualizację, przechowywanie, archiwizowanie, adaptowanie lub modyfikowanie, pobieranie, kopiowanie, przeglądanie, wykorzystywanie, udostępnianie, dopasowywanie lub łączenie, usuwanie lub niszczenie. Licencjobiorca potwierdza, iż w związku z zamówieniami generowanymi w Portalu przez Użytkowników, powierzane mu Dane Osobowe będą udostępniane innym podmiotom będącym stronami takich zamówień.
6. FarmaProm jest uprawniony do przetwarzania Danych Osobowych wyłącznie w celach związanych z realizacją Usług świadczonych na rzecz Licencjobiorcy na podstawie Umowy Głównej, w szczególności w związku z funkcjonowaniem Portalu.
7. Licencjobiorca powierza FarmaProm przetwarzanie Danych Osobowych w jego imieniu przez okres obowiązywania niniejszej Umowy. 
8. Licencjobiorca oświadcza, że spełnił wszelkie warunki legalności przetwarzania Danych Osobowych, przewidziane Ustawą. 
9. Strony zobowiązują się przy przetwarzaniu Danych Osobowych przestrzegać zasad określonych w Rozporządzeniu (UE) 2016/679 oraz stosować się do wytycznych i zaleceń dotyczących przetwarzania danych osobowych wydanych przez Europejską Radę Ochrony Danych, o której mowa w art. 68 powołanego rozporządzenia.

§ 4

Dalsze powierzenie przetwarzania danych

1. FarmaProm jest uprawniony do korzystania z usług innego podmiotu przetwarzającego w trakcie realizacji przetwarzania Danych Osobowych na podstawie niniejszej Umowy, pod warunkiem poinformowania Licencjobiorcy o każdym planowanym dalszym powierzeniu przetwarzania Danych Osobowych oraz o wszelkich zamierzonych zmianach dotyczących takich innych podmiotów przetwarzających, w szczególności o zastąpieniu dotychczasowego podmiotu przetwarzającego przez innego usługodawcę lub o rezygnacji z usług innego podmiotu przetwarzającego, oraz z zastrzeżeniem ust. 2 i 3.
2. Licencjobiorca jest uprawniony do wyrażenia sprzeciwu wobec dalszego powierzenia przetwarzania Danych Osobowych usługodawcy wskazanemu przez FarmaProm w terminie 5 dni od otrzymania od FarmaProm informacji o planowanym dalszym powierzeniu ich przetwarzania innemu podmiotowi przetwarzającemu lub o zastąpieniu dotychczasowego podmiotu przetwarzającego przez innego usługodawcę. Brak sprzeciwu, o którym mowa w zdaniu poprzedzającym oznacza zgodę Licencjobiorcy. W przypadku złożenia sprzeciwu przez Licencjobiorcę wobec planowanego przez FarmaProm podpowierzenia Danych Osobowych do przetwarzania, dalsze powierzenie przetwarzania Danych Osobowych przez FarmaProm podmiotowi objętemu sprzeciwem jest niedopuszczalne, jednakże w uzasadnionym przypadku FarmaProm będzie miał prawo do wypowiedzenia Umowy Głównej, na piśmie pod rygorem nieważności z zachowaniem miesięcznego okresu wypowiedzenia.
3. Licencjobiorca wyraża zgodę na dalsze powierzenie przetwarzania Danych Osobowych przez FarmaProm partnerom technicznym: Google Ireland Limited, Polcom S.A. z siedzibą w Skawinie, Freshmail sp. z o. o. z siedzibą w Krakowie, ETAP Polska sp. z o. o. z siedzibą w Krakowie oraz IT FarmaProm Polska spółka z ograniczoną odpowiedzialnością sp. k. z siedzibą w Krakowie, którym FarmaProm zamierza powierzyć Dane Osobowe do przetwarzania.
4. FarmaProm jest zobowiązany zapewnić, iż inny podmiot przetwarzający, z którego usług zamierza korzystać przy przetwarzaniu Danych Osobowych, daje wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie zapewniało stopień bezpieczeństwa danych odpowiedni do kategorii Danych Osobowych powierzonych mu do przetwarzania oraz zagrożeń związanych z ich przetwarzaniem, jak również chroniło prawa osób, których te dane dotyczą.
5. Dalsze powierzenie czynności przetwarzania innemu podmiotowi przetwarzającemu, o którym mowa w § 4 ust. 1, jest możliwe jedynie pod warunkiem nałożenia przez FarmaProm na ten inny podmiot przetwarzający odpowiednich obowiązków ochrony danych.
6. W przypadku, gdy powierzenie przetwarzania Danych Osobowych innemu podmiotowi przetwarzającemu przez FarmaProm wiąże się z transferem tych danych do państwa trzeciego, które nie zapewnia odpowiedniego poziomu ochrony Danych Osobowych na swoim terytorium i jednocześnie brak jest innych podstaw umożlwiających transfer Danych Osobowych do tego państwa trzeciego, Licencjobiorca podpisze z podmiotem przetwarzającym zlokalizowanym w takim państwie trzecim umowę zawierającą:

a) „Standardowe Klauzule Umowne” przyjęte na mocy Decyzji Komisji 2010/87/EU z dnia 5 lutego 2010 r. w sprawie przekazywania Danych Osobowych z krajów Unii Europejskiej do krajów trzecich, bądź
b) „Standardowe Klauzule Ochrony Danych” przyjęte zgodnie z art. 46 ust. 2 lit c i d Rozporządzenia (UE) 2016/679,

lub upoważni na piśmie FarmaProm do podpisania wyżej wskazanej umowy w jego imieniu. Zawarcie takiej umowy z podmiotem przetwarzającym zlokalizowanym w państwie trzecim uprawnia FarmaProm do korzystania z usług tego podmiotu przetwarzającego przy przetwarzaniu Danych Osobowych.
7. Umowa, wskazana w ust. 5 i ust. 6 powyżej zawierana jest w formie pisemnej lub elektronicznej.
8. FarmaProm ponosi wobec Licencjobiorcy odpowiedzialność za niewywiązanie się innego podmiotu przetwarzającego, któremu powierzył przetwarzanie Danych Osobowych, ze spoczywających na nim obowiązków ochrony danych. W przypadku niewywiązania się innego podmiotu przetwarzającego z obowiązków ochrony danych Licencjobiorca ma prawo żądać zaprzestania korzystania przez FarmaProm z usług tego podmiotu w procesie przetwarzania Danych Osobowych.

§ 5

Obowiązki FarmaProm

1. Licencjobiorca niniejszym składa FarmaProm polecenie przetwarzania Danych Osobowych na potrzeby obsługi Portalu, prowadzenia na rzecz Licencjobiorcy usług związanych z przetwarzaniem i analizą danych oraz świadczenia innych usług na rzecz Licencjobiorcy. W ewentualnie poszerzonym zakresie FarmaProm może przetwarzać Dane Osobowe wyłącznie na dodatkowe, udokumentowane polecenie, co dotyczy też przekazywania Danych Osobowych do państwa trzeciego lub organizacji międzynarodowej, przy czym za udokumentowane polecenie Licencjobiorcy uważa się polecenia
przekazywane drogą elektroniczną lub na piśmie. Powyższy obowiązek nie dotyczy sytuacji, gdy wymóg przetwarzania Danych Osobowych nakłada na FarmaProm prawo Unii Europejskiej lub prawo
kraju jego siedziby. W takim przypadku przed rozpoczęciem przetwarzania FarmaProm poinformuje Licencjobiorcę o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
2. FarmaProm jest odpowiedzialny za ochronę powierzonych mu do przetwarzania Danych Osobowych.
3. FarmaProm jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę powierzonych mu do przetwarzania Danych Osobowych odpowiednią do zagrożeń oraz kategorii tych danych, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. FarmaProm prowadzi dokumentację opisującą środki, o których mowa w zdaniu poprzednim oraz sposób przetwarzania Danych Osobowych. Dla uniknięcia
wątpliwości Licencjobiorca oświadcza, iż w ramach prowadzonej współpracy FarmaProm nie będą powierzane do przetwarzania szczególne kategorie Danych Osobowych, o których mowa w art. 9 Rozporządzenia (UE) 2016/679.
4. FarmaProm jest obowiązany zapewnić kontrolę nad tym, jakie Dane Osobowe, kiedy i przez kogo w jego organizacji zostały pozyskane oraz komu są przekazywane.
5. Na żądanie Licencjobiorcy, FarmaProm poinformuje Licencjobiorcę o lokalizacji przetwarzania Danych Osobowych przez FarmaProm.
6. Przy przetwarzaniu Danych Osobowych FarmaProm jest obowiązany przestrzegać niniejszej Umowy, przepisów prawa oraz stosować politykę bezpieczeństwa, zasady i wytyczne odnoszące się do
zapewnienia ochrony i poufności Danych Osobowych zgodne z obowiązującymi przepisami o ochronie Danych Osobowych.
7. FarmaProm zapewnia, by osoby upoważnione przez niego do przetwarzania Danych Osobowych zobowiązały się do zachowania tajemnicy Danych Osobowych i środków ich zabezpieczenia zarówno w
okresie obowiązywania niniejszej Umowy, jaki i po jej rozwiązaniu.
8. FarmaProm przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w § 4 niniejszej Umowy.
9. FarmaProm umożliwia Licencjobiorcy lub upoważnionemu przez niego audytorowi przeprowadzanie audytów, o których mowa w § 6 niniejszej Umowy i przyczynia się do nich.
10. FarmaProm po stwierdzeniu naruszenia ochrony Danych Osobowych jest zobowiązany bez zbędnej zwłoki zgłosić je Licencjobiorcy wskazując w zgłoszeniu:

a) charakter naruszenia ochrony Danych Osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów Danych Osobowych, których dotyczy naruszenie;
b) opis możliwych konsekwencji naruszenia ochrony Danych Osobowych;
c) opis środków zastosowanych lub proponowanych przez FarmaProm w celu zaradzenia naruszeniu ochrony Danych Osobowych, w tym opis działań podjętych w celu zminimalizowania ewentualnych negatywnych skutków naruszenia.

11. FarmaProm jest obowiązany udostępnić Licencjobiorcy wszelkie informacje niezbędne do wykazania, iż spełnia obowiązki określone w niniejszym paragrafie Umowy.
12. FarmaProm podejmuje wszelkie środki wymagane na mocy art. 32 Rozporządzenia (UE) 2016/679 w celu zapewnienia bezpieczeństwa Danych Osobowych.
13. FarmaProm, biorąc pod uwagę charakter przetwarzania, jest obowiązany w miarę możliwości pomagać Licencjobiorcy poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia (UE) 2016/679.
14. FarmaProm, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Licencjobiorcy wywiązać się z obowiązków określonych w art. 32–36 Rozporządzenia (UE) 2016/679.
15. W związku z obowiązkami określonymi w ust. 9 i ust. 12 powyżej FarmaProm niezwłocznie poinformuje Licencjobiorcę, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie Rozporządzenia (UE) 2016/679 lub innych przepisów Unii Europejskiej lub kraju jego siedziby w zakresie ochrony Danych Osobowych.

§ 6

Prawo audytu

1. Licencjobiorca jest uprawniony do przeprowadzenia audytu przetwarzania Danych Osobowych w celu zweryfikowania, czy FarmaProm spełnienia obowiązki określone w § 5 niniejszej Umowy.
2. Strony ustalają następujące zasady prowadzenia audytu, o którym mowa w ust. 1 powyżej:

a) Audyt może polegać na żądaniu przedstawienia dokumentów oraz wyjaśnień dotyczących przetwarzania Danych Osobowych.
b) Informacja o zamiarze przeprowadzenia audytu, o którym mowa w § 6 oraz o jego zakresie będzie przekazana FarmaProm z co najmniej 90-dniowym wyprzedzeniem drogą elektroniczną na adres e-mail: daneosobowe@farmaprom.pl
c) Audyt może zostać przeprowadzony korespondencyjnie.
d) Licencjobiorca prowadzi audyt osobiście lub za pośrednictwem niezależnych audytorów zewnętrznych, którzy zostali upoważnieni przez Licencjobiorcę do przeprowadzenia audytu w jego imieniu i których niezależność nie może rodzić uzasadnionych wątpliwości. FarmaProm jest uprawniony do zażądania zawarcia z podmiotem odpowiedzialnym za realizację audytu umowy o poufności zabezpieczającej poufność tego procesu przed jego rozpoczęciem.

3. FarmaProm zobowiązany jest udostępnić w celu zrealizowania audytu, o którym mowa w § 6 wgląd audytorów w uzasadnionym zakresie do procedur działania, regulaminów, zasad prowadzenia procesów i dokumentacji organizacyjnej związanej z przetwarzaniem Danych Osobowych powierzonych przez Licencjobiorcę.
4. Zakres audytu nie może naruszać obowiązków dochowania poufności, jakie FarmaProm posiada wobec innych podmiotów. Licencjobiorca oraz audytorzy działający w jego imieniu są zobowiązani do zachowania ścisłej poufności w odniesieniu do informacji pozyskanych w trakcie audytu.
5. Koszty wyżej wskazanego audytu ponosi Licencjobiorca.
6. Licencjobiorca dostarcza FarmaProm kopię raportu z przeprowadzonego audytu. W przypadku stwierdzenia w toku audytu niezgodności działań FarmaProm z niniejszą Umową lub przepisami o ochronie Danych Osobowych, do których stosowania FarmaProm jest obowiązany, FarmaProm niezwłocznie zapewni zgodność przetwarzania Danych Osobowych z postanowieniami Umowy lub przepisami, których naruszenie stwierdzono w raporcie z audytu. W przypadku braku zgody FarmaProm z wnioskami z audytu FarmaProm odniesienie się do nich w formie pisemnej lub elektronicznej dostarczając wymaganych wyjaśnień.

§ 7 

Odpowiedzialność Stron

  1. FarmaProm odpowiada za szkody, jakie powstaną u Licencjobiorcy lub osób trzecich w wyniku niezgodnego z niniejszą Umową przetwarzania przez FarmaProm Danych Osobowych.
  2. FarmaProm zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych Danych Osobowych.
  3. W przypadku niewykonania lub nienależytego wykonania przez FarmaProm niniejszej Umowy, FarmaProm zobowiązuje się do zapłaty odszkodowania na zasadach ogólnych. 

§ 8

Postanowienia końcowe

  1. Niniejsza Umowa zostaje zawarta na czas obowiązywania Umowy Głównej lub do czasu zawarcia przez Strony na piśmie umowy w tym samym przedmiocie.
  2. W przypadku rozwiązania niniejszej Umowy FarmaProm usuwa Dane Osobowe powierzone przez Licencjobiorcę oraz nieodwracalnie niszczy wszelkie kopie dokumentów i zapisów na wszelkich nośnikach, zawierających Dane Osobowe powierzone przez Licencjobiorcę – jeśli nośniki te nie podlegają zwrotowi do Licencjobiorcy, chyba że prawo Unii Europejskiej lub prawo kraju FarmaProm nakazują FarmaProm dalsze przechowywanie Danych Osobowych. W takim przypadku za przetwarzanie w/w danych po rozwiązaniu niniejszej Umowy FarmaProm odpowiada jak administrator.
  3. FarmaProm jest obowiązany wykonać obowiązek, o którym mowa w ust. 2 powyżej nie później jednak niż w terminie 90 dni od rozwiązania niniejszej Umowy.
  4. Wszelkie zmiany lub uzupełnienia w niniejszej Umowie wymagają zachowania formy pisemnej pod rygorem nieważności.
  5. W kwestiach nieuregulowanych niniejszą Umową mają zastosowanie przepisy Kodeksu Cywilnego, Ustawy oraz Rozporządzenia (UE) 2016/679 od dnia rozpoczęcia jego stosowania.
  6. Wszelkie spory wynikłe ze stosunku prawnego objętego niniejszą Umową rozpatrywane będą przez sąd właściwy dla siedziby FarmaProm.

Tutaj można wprowadzić tekst do wyświetlania w obrębie modułu.