Notatnik Medyczny

Umowa powierzenia (DPA)

Szablon umowy powierzenia przetwarzania danych

Aktualizacja: maj 2026

Poniżej przedstawiamy standardowy wzór umowy powierzenia przetwarzania danych osobowych (art. 28 RODO). Umowa jest zawierana elektronicznie poprzez akceptację Regulaminu i obowiązuje w zakresie przetwarzania danych pacjentów.

DPA ma zastosowanie do przetwarzania danych pacjentów w Usłudze.

Na życzenie udostępniamy podpisaną wersję.

Akceptacja jest rejestrowana (data i wersja dokumentu).

1. Postanowienia ogólne

Administratorem danych jest Użytkownik (np. podmiot leczniczy), a Procesorem jest Usługodawca Notatnika. Umowa uzupełnia Regulamin i Politykę prywatności.

2. Przedmiot i czas trwania

Przedmiotem umowy jest przetwarzanie danych osobowych w zakresie niezbędnym do świadczenia Usługi. Umowa obowiązuje przez czas świadczenia Usługi, chyba że strony ustalą inaczej.

3. Charakter i cel przetwarzania

  • przyjmowanie i przetwarzanie plików (OCR, transkrypcja),
  • generowanie notatek i wersjonowanie treści,
  • utrzymanie bezpieczeństwa i audytowalności.

4. Kategorie danych i osób

  • dane identyfikacyjne i kontaktowe pacjentów (jeśli zostały wprowadzone),
  • dane o zdrowiu zawarte w dokumentacji medycznej,
  • dane użytkowników systemu (kontekst operacyjny).

5. Obowiązki Procesora

  • przetwarzanie danych wyłącznie na udokumentowane polecenie Administratora,
  • zapewnienie poufności osób upoważnionych do przetwarzania,
  • wdrożenie środków bezpieczeństwa adekwatnych do ryzyka,
  • pomoc Administratorowi w realizacji praw osób, których dane dotyczą.

Administrator zapewnia podstawę prawną przetwarzania, realizuje obowiązek informacyjny wobec osób, których dane dotyczą, oraz uzyskuje i dokumentuje zgody, jeśli są wymagane. Procesor nie weryfikuje rutynowo podstawy prawnej ani zgód Administratora, lecz może zażądać potwierdzenia lub wstrzymać przetwarzanie w razie uzasadnionych wątpliwości co do zgodności z prawem.

Uzasadnione wątpliwości obejmują w szczególności sprzeczne informacje, skargi osób, brak odpowiedzi na zapytania lub naruszenia Regulaminu.

W razie uzasadnionych wątpliwości Procesor zwraca się o potwierdzenie podstawy prawnej lub dokumentację zgód, a Administrator dostarcza je w terminie 14 dni. Do czasu wyjaśnienia Procesor może wstrzymać nowe operacje przetwarzania.

6. Podwykonawcy

Procesor może korzystać z podwykonawców w zakresie niezbędnym do świadczenia Usługi. Lista kategorii i przykładowych podwykonawców jest dostępna na stronie Podwykonawcy.

Umowy z podwykonawcami zawierają zobowiązania co najmniej równoważne z art. 28 ust. 3 RODO.

O istotnych zmianach w zakresie podwykonawców poinformujemy Administratora z wyprzedzeniem (co najmniej 30 dni). Administrator ma prawo zgłosić uzasadniony sprzeciw.

Powiadomienie może zostać przekazane e-mailem lub komunikatem w aplikacji.

Jeśli wiadomość e-mail nie zostanie dostarczona, podejmiemy próbę kontaktu na ostatni znany adres rozliczeniowy.

Powiadomienie uznaje się za doręczone po 5 dniach roboczych od wysłania.

Za istotną zmianę uznajemy dodanie nowego podwykonawcy przetwarzającego dane pacjentów lub zmianę lokalizacji przetwarzania poza EOG.

Sprzeciw należy zgłosić e-mailem w ciągu 30 dni. Odpowiadamy w ciągu 14 dni.

Jeśli sprzeciw nie zostanie uwzględniony, Administrator może rozwiązać umowę w zakresie wpływającym na sprzeciw bez dodatkowych opłat.

Zakres objęty sprzeciwem oznacza funkcje Usługi korzystające z nowego podwykonawcy.

W przypadku wdrożeń on-premise infrastruktura może być zapewniona przez Administratora.

7. Środki bezpieczeństwa

  • kontrola dostępu i rozdział organizacji,
  • pseudonimizacja danych przed przetwarzaniem AI,
  • szyfrowanie wybranych danych i backupów,
  • logi audytowe i monitoring.

8. Wsparcie Administratora

Procesor udziela wsparcia w realizacji obowiązków RODO, w tym w zakresie zgłaszania naruszeń i realizacji praw osób, których dane dotyczą.

9. Naruszenia

Procesor zgłasza Administratorowi naruszenia ochrony danych bez zbędnej zwłoki po ich stwierdzeniu, nie później niż w ciągu 72 godzin, chyba że uzasadnione okoliczności wymagają dłuższego czasu.

Administrator odpowiada za ewentualne zgłoszenie naruszenia do organu nadzorczego.

10. Zwrot i usunięcie danych

Po zakończeniu umowy Procesor usuwa lub zwraca dane zgodnie z instrukcjami Administratora, z uwzględnieniem obowiązków prawnych (np. rozliczenia, bezpieczeństwo).

Kopie zapasowe są przechowywane do 30 dni, chyba że prawo wymaga dłuższego okresu.

11. Audyt

Administrator może przeprowadzić audyt zgodnie z uzgodnionym zakresem i terminem, z poszanowaniem bezpieczeństwa oraz tajemnicy przedsiębiorstwa.

Audyt powinien być zgłoszony z co najmniej 14-dniowym wyprzedzeniem i nie częściej niż raz w roku, chyba że prawo lub incydent wymagają inaczej.

Audyt jest prowadzony na podstawie NDA, w zakresie dotyczącym danych Administratora. Koszty audytu ponosi Administrator, chyba że audyt wykaże istotne naruszenie po stronie Procesora.

Audyt może być przeprowadzony przez niezależnego audytora wyznaczonego przez Administratora, z zachowaniem poufności i bezpieczeństwa.

Audyt odbywa się w rozsądnych godzinach pracy i nie powinien przekraczać 5 kolejnych dni roboczych.

Procesor może zanonimizować lub zredagować informacje dotyczące innych klientów.

Audyt może zostać zrealizowany na podstawie dokumentacji, raportów bezpieczeństwa lub testów kontrolowanych.

Wnioski audytowe należy zgłaszać na adres: konrad@radioonkolog.pl.

Na wniosek audytowy odpowiadamy bez zbędnej zwłoki, nie później niż w ciągu 30 dni.

W przypadku incydentu bezpieczeństwa przekazujemy wstępne informacje w ciągu 72 godzin.

12. Kontakt i podpisanie

Aby podpisać umowę powierzenia, skontaktuj się z nami: konrad@radioonkolog.pl.

Podpisana wersja ma charakter potwierdzający i nie jest warunkiem ważności DPA.

Data Processing Addendum | Notatnik Medyczny