Wersja robocza — Niniejszy dokument jest wersją roboczą oczekującą na opinię polskiej kancelarii prawnej. Treść tej strony nie jest wiążąca do momentu publikacji wersji 1.0.
Umowa powierzenia przetwarzania danych
Umowa Powierzenia Przetwarzania Danych Osobowych (DPA)
Umowa Powierzenia Przetwarzania Danych Osobowych
zawarta pomiędzy:
Administratorem: [pełna nazwa Placówki / Klienta B2B] [adres siedziby] NIP: [numer], REGON: [numer], (KRS: [numer] / wpis do RPWDL: [numer]) reprezentowanym przez: [imię i nazwisko, funkcja]
zwanym dalej „Administratorem"
a
Podmiotem Przetwarzającym: Heltio Sp. z o.o. [adres] KRS: [numer], NIP: [numer], REGON: [numer] reprezentowanym przez: Dawid Adamski, Prezes Zarządu
zwanym dalej „Podmiotem Przetwarzającym"
§1 Przedmiot powierzenia
- Administrator powierza Podmiotowi Przetwarzającemu, w trybie art. 28 ust. 3 RODO, przetwarzanie danych osobowych w celu i zakresie określonym w niniejszej Umowie.
- Powierzenie obejmuje dane osobowe zbierane i przetwarzane przez Administratora w toku świadczenia usług medycznych pacjentom oraz prowadzenia jego działalności (dane pacjentów, dane personelu, dane kontaktowe etc.) — wyłącznie w zakresie technicznie niezbędnym do dostarczenia funkcjonalności Aplikacji Heltio.
- Niniejsza Umowa wchodzi w życie z chwilą jej podpisania (lub aktywnej akceptacji w panelu rejestracyjnym z zapisem audytowym) i obowiązuje przez cały okres obowiązywania umowy głównej (Regulamin Heltio).
§2 Charakter, cel, czas i kategorie
- Cel przetwarzania: umożliwienie Administratorowi prowadzenia działalności medycznej, w tym dokumentacji medycznej, kalendarza wizyt, komunikacji z pacjentami, programów leczenia, rozliczeń, integracji z P1.
- Czas: przez okres obowiązywania umowy głównej + 30 dni na pobranie eksportu danych po jej zakończeniu (§9).
- Kategorie osób, których dane dotyczą: pacjenci Administratora, personel Administratora, kontrahenci, opiekunowie pacjentów małoletnich.
- Kategorie danych: dane identyfikacyjne (w tym PESEL / dokument tożsamości obcokrajowca), kontaktowe, dane szczególnej kategorii — dane zdrowotne (art. 9 ust. 1 RODO) — w tym diagnozy, plany leczenia, pomiary fizjoterapeutyczne, załączniki, dane dot. płatności, dane logowania.
§3 Obowiązki Podmiotu Przetwarzającego
Podmiot Przetwarzający zobowiązuje się do:
- przetwarzania danych wyłącznie na udokumentowane polecenie Administratora — w tym także odnośnie do przekazań do państwa trzeciego, z wyjątkiem sytuacji, gdy obowiązek taki wynika z prawa Unii lub państwa członkowskiego; w takim wypadku Podmiot Przetwarzający informuje Administratora o tym wymogu, chyba że jest to niedozwolone przez to prawo;
- zapewnienia, by osoby upoważnione do przetwarzania danych w Heltio zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
- wdrożenia środków technicznych i organizacyjnych wymaganych przez art. 32 RODO — szczegółowo opisanych w Załączniku 1 — Środki bezpieczeństwa;
- przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego (podprocesora) — zgodnie z §4;
- pomocy Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków, konsultacje);
- pomocy Administratorowi w realizacji praw osób, których dane dotyczą (art. 12–22 RODO) — w tym w realizacji żądań pacjentów składanych przez portal pacjenta;
- udostępniania Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków Administratora oraz w umożliwianiu audytów (§7);
- niezwłocznego informowania Administratora, jeżeli zdaniem Podmiotu Przetwarzającego wydane mu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych.
§4 Podprocesorzy (dalsi podwykonawcy)
- Administrator udziela ogólnej zgody Podmiotowi Przetwarzającemu na korzystanie z podprocesorów ujętych w Załączniku 2 — Lista podprocesorów (publicznie dostępna pod adresem https://heltio.pl/podprocesorzy).
- Podmiot Przetwarzający zobowiązuje się do informowania Administratora z co najmniej 30-dniowym wyprzedzeniem o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia podprocesorów. Powiadomienie odbywa się drogą elektroniczną (e-mail + komunikat w panelu).
- Administrator ma prawo wnieść uzasadniony sprzeciw wobec planowanej zmiany; w razie braku porozumienia w terminie 30 dni Administrator może wypowiedzieć umowę główną bez zachowania okresu wypowiedzenia.
- Podmiot Przetwarzający nakłada na podprocesorów te same obowiązki ochrony danych co przewidziane w niniejszej Umowie.
- Pełną odpowiedzialność wobec Administratora za wypełnianie obowiązków przez podprocesorów ponosi Podmiot Przetwarzający.
§5 Środki bezpieczeństwa
Szczegółowe środki techniczne i organizacyjne stosowane przez Heltio opisane są w Załączniku 1. Stałą aktualizację stanu zabezpieczeń stanowi dokument docs/features/gdpr/GDPR_COMPLIANCE_PLAN.md udostępniany Administratorowi na żądanie.
§6 Naruszenia ochrony danych
- Podmiot Przetwarzający informuje Administratora o stwierdzonym naruszeniu ochrony danych osobowych bez zbędnej zwłoki, najpóźniej w ciągu 24 godzin od stwierdzenia naruszenia, w sposób umożliwiający Administratorowi wywiązanie się z obowiązku zgłoszenia naruszenia organowi nadzorczemu w terminie 72 godzin.
- Powiadomienie zawiera elementy określone w art. 33 ust. 3 RODO: charakter naruszenia, kategorie i przybliżoną liczbę osób, kategorie i przybliżoną liczbę wpisów, dane kontaktowe IOD, możliwe konsekwencje, podjęte i proponowane środki.
- Procedurę reagowania na incydenty Heltio prowadzi zgodnie z dokumentem
INCIDENT_RESPONSE.md, który stanowi część polityk wewnętrznych Podmiotu Przetwarzającego.
§7 Audyt
- Podmiot Przetwarzający udostępnia Administratorowi raz w roku, a także na każde uzasadnione żądanie, dokumentację audytową obejmującą: aktualną listę podprocesorów, opis środków bezpieczeństwa, raporty z testów penetracyjnych (w zakresie nieobjętym tajemnicą bezpieczeństwa), wynik corocznego przeglądu RoPA, wynik corocznego przeglądu DPIA.
- Administrator może raz na 12 miesięcy przeprowadzić audyt zgodności na własny koszt po uprzednim 30-dniowym pisemnym powiadomieniu, z zastrzeżeniem, że nie zakłóca on bieżącej działalności Podmiotu Przetwarzającego.
- Strony mogą uzgodnić, że audyt zostanie zastąpiony niezależnym certyfikatem lub niezależnym audytem zewnętrznym (np. ISO 27001, SOC 2 Type II, w przyszłości) — Heltio dąży do uzyskania takiej certyfikacji.
§8 Obszar przetwarzania (lokalizacja danych)
- Podmiot Przetwarzający oświadcza, że wszystkie czynności przetwarzania objęte niniejszą Umową odbywają się na obszarze Europejskiego Obszaru Gospodarczego — w szczególności w regionach: Niemcy (Frankfurt — Supabase, AWS eu-central-1), Polska (SMSAPI, PayU), Irlandia (Stripe).
- Nie odbywa się żadne przekazanie danych pacjentów poza EOG w odniesieniu do danych dotyczących zdrowia. Funkcje AI obecnie wyłączone (zob. polityka prywatności).
- W razie konieczności wprowadzenia przekazania poza EOG, Podmiot Przetwarzający zapewni mechanizmy z art. 46 RODO (Standardowe Klauzule Umowne 2021), wykona Transfer Impact Assessment i powiadomi Administratora w trybie zmiany podprocesora (§4).
§9 Zakończenie umowy
- Po zakończeniu obowiązywania niniejszej Umowy, Administrator może w terminie 30 dni dokonać eksportu danych za pomocą funkcji udostępnianej w Aplikacji.
- Po upływie tego terminu Podmiot Przetwarzający usuwa lub anonimizuje dane Administratora, z zastrzeżeniem przepisów obligujących Administratora do dalszego ich przechowywania (np. dokumentacja medyczna — 20 lat). W tym zakresie Administrator pozostaje wyłącznym administratorem i odpowiada za dalsze ich przechowywanie u siebie lub u innego podmiotu przetwarzającego.
- Podmiot Przetwarzający usuwa również wszelkie kopie zapasowe zawierające dane Administratora — najpóźniej w terminie wynikającym z polityki retencji kopii zapasowych (max 90 dni).
§10 Odpowiedzialność
- Każda ze Stron ponosi odpowiedzialność za naruszenie obowiązków wynikających z RODO i niniejszej Umowy zgodnie z przepisami powszechnie obowiązującymi.
- Strony postanawiają, że odpowiedzialność cywilna Podmiotu Przetwarzającego z tytułu niniejszej Umowy ograniczona jest do kwoty wynagrodzenia zapłaconego przez Administratora w okresie 12 miesięcy poprzedzających zdarzenie szkodzące, z wyłączeniem przypadków winy umyślnej i rażącego niedbalstwa oraz roszczeń osób trzecich oraz roszczeń wynikających z naruszeń RODO, które są egzekwowane w pełnej wysokości.
§11 Postanowienia końcowe
- Wszelkie zmiany Umowy wymagają formy pisemnej lub dokumentowej (e-mail / panel administracyjny z zapisem audytowym) pod rygorem nieważności.
- W zakresie nieuregulowanym stosuje się przepisy RODO, ustawy o ochronie danych osobowych, ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, ustawy o systemie informacji w ochronie zdrowia oraz Kodeksu cywilnego.
- Sądem właściwym jest sąd właściwy dla siedziby Heltio.
- Niniejszy dokument sporządzono w wersji polskiej i angielskiej. W razie rozbieżności wersja polska jest rozstrzygająca.
Załącznik 1 — Środki bezpieczeństwa (art. 32 RODO)
| Obszar | Środek |
|---|---|
| Szyfrowanie w tranzycie | TLS 1.3 we wszystkich połączeniach API i WWW; HSTS; mTLS dla integracji P1 |
| Szyfrowanie w spoczynku | Szyfrowanie po stronie Supabase (Frankfurt); dodatkowo szyfrowanie poszczególnych pól szczególnie wrażliwych (PESEL, numer dokumentu obcokrajowca, treść notatek klinicznych, dokumentacja, ROM) — algorytm AES-256-GCM, klucze zarządzane przez AWS KMS eu-central-1 |
| Pseudonimizacja | Wyszukiwanie po PESEL realizowane przez wartość zhashowaną HMAC-SHA256 z indywidualnym pepperem aplikacji |
| Uwierzytelnianie | Clerk EU; obowiązkowe MFA dla kont z dostępem do danych pacjentów |
| Kontrola dostępu | Model RBAC z 27 uprawnieniami; izolacja wielodostępna na poziomie middleware tRPC + warunków SQL; nieudane próby logowania ograniczane przez rate-limiter |
| Dziennik dostępu | Append-only audit log z 5-letnim okresem retencji; widoczny dla pacjenta w portalu jako "Historia dostępu do moich danych" |
| Kopie zapasowe | Codziennie, retencja 30 dni; szyfrowane; testy odtwarzania co najmniej raz w miesiącu |
| Bezpieczeństwo aplikacji | OWASP ASVS L2 jako baseline; obowiązkowy peer-review każdego PR; testy penetracyjne przed pierwszym wdrożeniem produkcyjnym oraz po istotnych zmianach |
| Reagowanie na incydenty | Procedura z INCIDENT_RESPONSE.md; dyżur na rotacji; ćwiczenia tabletop co kwartał |
| Bezpieczeństwo personelu | Coroczne szkolenia RODO; kwartalny przegląd uprawnień; klauzule poufności w umowach |
| Aplikacja mobilna | Zaszyfrowana lokalna baza (SQLCipher); klucze w Expo SecureStore; zdalne wymazywanie po wylogowaniu |
| Polityka haseł | Minimum 12 znaków; sprawdzanie wycieku w bazie haveibeenpwned; brak wymuszanej rotacji |
Załącznik 2 — Lista podprocesorów (przykładowa, źródło: SUBPROCESSORS.md)
Aktualna i wiążąca wersja listy: https://heltio.pl/podprocesorzy oraz w repozytorium Heltio w pliku SUBPROCESSORS.md.
Załącznik 3 — Polityka retencji danych
Domyślne okresy retencji są zgodne z polskim prawem (art. 29 ustawy o prawach pacjenta) — 20 lat od końca roku kalendarzowego ostatniego wpisu (30 lat w przypadku zgonu wskutek uszkodzenia ciała / zatrucia; do ukończenia 22. roku życia dla dokumentacji dziecka). Administrator może zmodyfikować retencję (na korzyść osób, których dane dotyczą — krótszą) w panelu administracyjnym; nie może natomiast skrócić obowiązkowych okresów ustawowych.
Podpis Administratora:
| Imię i nazwisko | Funkcja | Data | Podpis |
|---|---|---|---|
Podpis Podmiotu Przetwarzającego:
| Imię i nazwisko | Funkcja | Data | Podpis |
|---|---|---|---|
| Dawid Adamski | Prezes Zarządu |