UMOWA O PRZETWARZANIU DANYCH OSOBOWYCH zawarta zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanym dalej "Rozporządzeniem"). Umowa (zwana dalej Umową ) zostaje zawarta pomiędzy poniżej wymienionymi stronami zwanymi dalej oddzielnie Procesorem i Administratorem oraz łącznie Stronami: Administrator danych osobowych - Lekarz/Klinika zdefiniowane w Ogólnych Warunkach (zwany dalej "Administratorem") i Procesor danych osobowych - Firma Estheticon, sp. z o.o., z siedzibą Dr. Milady Horákové 513 / 23a, Liberec IV-Perštýn, zarejestrowana w Sądzie Rejonowym w Usti nad Labem, sekcja C, sygn. 14604 (zwany dalej "Procesorem") 1. Przedmiot i cel umowy 1.1. Administrator i Procesor współpracują na podstawie innej umowy mającej na celu zapewnienie komunikacji pacjentów z Administratorem, głównie zapytań o usługi oraz umożliwienie przeniesienia części zawartości witryny za pośrednictwem tak zwanego widgetu. W ramach tej współpracy dochodzi lub może dochodzić do przetwarzania danych osobowych, gdzie cel przetwarzania i finansowanie takiego przetwarzania określa i zapewnia Administrator, a Procesor przetwarza dane osobowe dla potrzeb Administratora w ramach niniejszej Umowy o przetwarzaniu danych osobowych. 1.2. Niniejsza Umowa określa prawa i obowiązki Stron w zakresie przetwarzania danych osobowych. 2. Przetwarzanie danych osobowych 2.1. Procesor jest upoważniony przez Administratora do przetwarzania następujących danych osobowych: Imię i nazwisko Telefon E-mail Zabieg, którym jest zainteresowany potencjalny pacjent Opis tekstowy problemu Zdjęcia dołączone do zapytania Preferowana data i czas konsultacji
IP adres Wpis - opinia o lekarzu lub pytanie na Forum, na które lekarz odpowiada (zwane dalej "Danymi Osobowymi"). 2.2. Procesor przetwarza Dane Osobowe tylko w celu umożliwienia komunikacji potencjalnych klientów (pacjentów) z Administratorem oraz umożliwienia dzielenia się treścią ze stron dotyczących lekarza za pośrednictwem widgetu. 2.3. Administrator ma prawo poszerzyć cele przetwarzania Danych Osobowych zgodnie z obowiązującymi przepisami, gdzie zlecenie takiego przetwarzania powinien przekazać Procesorowi w formie pisemnej. Za formę pisemną można również uznać komunikację mailową Stron skierowaną do upoważnionych osób. 3. Prawa i obowiązki Stron 3.1. Procesor zobowiązuje się do przyjmowania technicznych, organizacyjnych i innych środków zapobiegających nieautoryzowanemu lub przypadkowego dostępowi do Danych Osobowych, ich zmianie, utracie, zniszczeniu lub innemu nieuprawnionemu wykorzystaniu Danych Osobowych. Procesor zobowiązuje się w szczególności do: a) korzystania z bezpiecznego dostępu do PC, gdzie dostęp do PC będzie znany tylko Procesorowi; b) korzystania z bezpiecznego dostępu do bazy Danych Osobowych, Procesor powinien przekazywać dostęp w taki sposób, aby dane nie były widoczne, nie były zapisywane i udostępniane osobom trzecim; c) w celu przetwarzania korzystać z oprogramowania i usług spełniających standardowe wymogi bezpieczeństwa danych i spełniających normy ustanowione przez Unię Europejską; d) nietworzenia kopii bazy danych bez uprzedniej zgody Administratora e) stosowania wszelkich środków bezpieczeństwa, na przykład szyfrowania lub innych właściwych i niezbędnych środków w zależności od rodzaju sprawy czy charakteru danych; f) niezezwalania na dostęp do danych osobom trzecim, jeżeli taki dostęp nie jest zatwierdzony pisemnie przez Administratora lub nie wynika z tej Umowy; g) przestrzegania poufności danych. 3.2. Procesor podejmuje się również: a) przetwarzać Dane Osobowe wyłącznie w formie, w jakiej zostały przesłane przez Administratora;
b) przetwarzać wyłącznie Dane Osobowe do celów określonych w niniejszej Umowie i wyłącznie w zakresie niezbędnym do realizacji tych celów; c) nie łączyć Danych Osobowych uzyskanych dla różnych celów; d) przechowywać Dane Osobowe tylko przez czas określony w zobowiązaniu informacyjnym lub za zgodą użytkownika końcowego. 3.3. Procesor jest zobowiązany archiwować dla Administratora zgody na przetwarzanie Danych Oosobowych przekazanych Procesorowi przez użytkowników końcowych. Na wezwania Administratora Procesor jest zobowiązany przekazać te zgody Administratorowi w ciągu 2 dni roboczych. 3.4. Procesor jest zobowiązany zagwarantować, że pracownicy i inne osoby upoważnione przez Procesora do przetwarzania Danych Osobowych będą przetwarzały dane wyłącznie w zakresie i do celów zgodnych z niniejszą Umową oraz zgodnie z Rozporządzeniem. 3.5. W ramach niniejszej Umowy Procesor i Administrator zobowiązują się przy przetwarzaniu Danych Osobowych przestrzegać obowiązków określonych w Rozporządzeniu oraz innych obowiązujących przepisów związanych z tą działalnością. 3.6. Na wezwania Administratora Procesor zobowiązuje się do poprawienia, aktualizacji, usunięcia lub przeniesienia Danych Osobowych zgodnie z wytycznymi Adminstratora i bez zbędnej zwłoki. 3.7. W przypadku, że adresowany Procesorowi sprzeciw subjektu, którego dotyczą dane, zostanie zgodnie z Art. 21 ust. 1 Rozporządzenia uznany za uzasadniony, Procesor zobowiązuje się do skorygowania nieprawidłowości niezwłocznie po otrzymaniu pisemnego wezwania od Administratora. Za formę pisemną można również uznać komunikację mailową Stron. 3.8. Przy pełnieniu obowiązków wynikających z Umowy Procesor jest zobowiązany postępować profesjonalnie, kierować się zaleceniami Administratora i działać w jego interesie. Jeśli Procesor zauważy, że Administrator narusza obowiązki wynikające z Rozporządzenia, jest zobowiązany niezwłocznie o tym powiadomić Administratora. 3.9. Procesor zobowiązuje się dostarczyć Administratorowi wszelkich informacji niezbędnych do sprawdzenia, że dopełnił wszystkich obowiązków w kwestii danych osobowych wynikających z tej Umowy lub Rozporządzenia i umożliwić Administratorowi lub osobie trzeciej, zobowiązanej do zachowania tajemnicy wobec Administratora, kontrolę w rozsądnym stopniu. Audyt musi zostać zgłoszony wystarczająco wcześnie, co najmniej na 30 dni przed rozpoczęciem audytu i nie może w nieuzasadniony sposób zakłócać pracy Procesora. Koszty audytu, które nie powstały w wyniku naruszenia obowiązków przez Procesora, ponosi Administrator. 3.10. Administrator wyraża zgodę, aby Procesor powierzył przetwarzaniem danych osobowych innego Procesora (zwanego dalej Podprocesorem ) bez dodatkowego wyraźnego polecenia Administratora.
a) Procesor informuje Administratora o wszelkich Podprocesorach, których zamierza powierzyć przetwarzaniem danych osobowych, dając tym samym Administratorowi możliwość wyrażenia sprzeciwu wobec tych podmiotów przetwarzających. Powiadomienie to może zostać przekazane w formie zbiorczego e-mailu lub innych środków komunikacji elektronicznej. Jeżeli Administrator nie zgłosi zastrzeżeń wobec Podprocesorów w ciągu trzech dni roboczych, Procesor ma prawo powierzyć Podprocesora przetwarzaniem danych osobowych. b) Jeśli Administrator wyrazi sprzeciw wobec Podprocesora zgodnie z poprzednim punktem, Procesor ma prawo wypowiedzieć świadczenie usług, dla których jest niezbędne przetwarzanie danych osobowych, z okresem wypowiedzenia 14 dni. Okres wypowiedzenia rozpoczyna się w dniu następującym po otrzymaniu wypowiedzenia od Procesora. Procesor jest upoważniony podać wypowiedzenie za pośrednictwem poczty e-mail lub innych środków komunikacji elektronicznej. c) Jeśli Procesor zobowiąże Podprocesora do wykonania niektórych czynności związanych z przetwarzaniem danych osobowych, Podprocesora obowiązują takie same zasady dotyczące ochrony danych osobowych, jakie są określone w niniejszej Umowie oraz Regulaminie. Jeżeli Podprocesor nie wywiąże się ze swoich zobowiązań w zakresie ochrony danych, odpowiedzialność za wypełnienie zobowiązań wobec Administratora ponosi Procesor. 3.11.W dniu zawarcia niniejszej Umowy Procesor korzysta z usług następujących Podprocesorów: Account manager (w niektórych przypadkach Administrator współpracuje z pracownikami zewnętrznymi, którzy pomagają lekarzowi w przetwarzaniu zapytań pacjentów) AWS Amazon Web Service (web hosting) MaxMind, Inc.(pozycjonowanie według adresu IP) Google as part of Google Analytics (analiza ruchu) 4. Okres obowiązywania umowy 4.1. Niniejsza Umowa obowiązuje przez cały czas trwania stosunku umownego, o którym mowa w art. 1.1. Umowy. 4.2. W przypadku rozwiązania Umowy lub zakończenia przetwarzania Danych Osobowych Procesor zobowiązuje się do niezwłocznej likwidacji danych osobowych przekazanych mu na mocy niniejszej Umowy, o ile ich tymczysowe przechowywanie nie jest w uzasadnionym interesie Procesora. 5. Zachowanie poufności 5.1. Procesor i inne osoby działające z upoważnienia Procesora, które mają dostęp do Danych Osobowych, podlegają obowiązkowi zachowania poufności na mocy art. 5 Umowy i zachowują
tajemnicę zawodową w zakresie przetwarzania Danych Osobowych, w szczególności zobowiązują się nie publikować, nie rozpowszechniać i nie przekazywać Danych Osobowych osobom trzecim poza osobami upoważnionymi lub zatrudnionymi przez Procesora. Obowiązek zachowania poufności ma również zastosowanie po rozwiązaniu Umowy Przetwarzania 5.2. Procesor jest również zobowiązany do zachowania poufności na temat środków bezpieczeństwa podjętych w celu ochrony prywatności, nawet po po rozwiązaniu Umowy Przetwarzania. 6. Odpowiedzialność 6.1. Jeśli Procesor naruszy swoje obowiązki wynikające z Umowy i Rozporządzenia, poniesie odpowiedzialność za wszelkie szkody wynikające z takiego naruszenia. Zakres odpowiedzialności dotyczy również szkód wyrządzonych osobom trzecim oraz sankcji nałożonych przez organy władzy publicznej w wyniku naruszenia przepisów lub innych przepisów dotyczących ochrony danych osobowych. 6.2. Procesor jest również odpowiedzialny za szkody spowodowane naruszeniem Umowy przez pracowników Procesora. 7. Przepisy końcowe 7.1. Unieważnienie lub niezrozumienie któregokolwiek z postanowień Umowy nie ma wpływu na ważność pozostałych postanowień Umowy. 7.2. Umawiające się Strony zobowiązują się do dostarczania sobie wzajemnie wszelkiej niezbędnej pomocy i dokumentacji w celu zapewnienia sprawnego i skutecznego wykonania niniejszej Umowy, zwłaszcza w przypadku rozmów z Urzędem Ochrony Danych Osobowych lub innymi organami publicznymi.