Umowa Powierzenia Przetwarzania Danych Osobowych
Umowa zawarta zgodnie z art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO)
Pomiędzy Noesis Sp. z o.o. (Procesor) a Psychologiem korzystającym z platformy (Administrator Danych).
§ 1. Definicje
- Administrator — Psycholog korzystający z platformy Noesis, który samodzielnie określa cele i sposoby przetwarzania danych Pacjentów.
- Procesor — Noesis Sp. z o.o., ul. Przykładowa 1, 00-001 Warszawa, NIP: 0000000000, który przetwarza dane osobowe w imieniu Administratora.
- Dane osobowe — wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (Pacjenta).
- Przetwarzanie — operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, analizowanie.
§ 2. Przedmiot i czas trwania przetwarzania
- Procesor przetwarza dane osobowe wyłącznie w celu świadczenia usług platformy Noesis na rzecz Administratora.
- Przetwarzanie obejmuje: przechowywanie danych, udostępnianie interfejsu do przeprowadzania testów psychologicznych, generowanie raportów, archiwizację wyników.
- Umowa obowiązuje przez cały okres korzystania z platformy przez Administratora. Po rozwiązaniu umowy dane są usuwane lub zwracane Administratorowi w ciągu 30 dni.
§ 3. Charakter i cel przetwarzania
| Kategoria danych | Cel przetwarzania | Podstawa prawna |
|---|---|---|
| Dane identyfikacyjne Pacjentów (imię, nazwisko, PESEL, data ur.) | Identyfikacja osoby badanej w systemie | Art. 6 ust. 1 lit. b RODO |
| Wyniki testów psychologicznych | Diagnostyka i archiwizacja wyników | Art. 9 ust. 2 lit. h RODO |
| Notatki diagnostyczne | Dokumentacja kliniczna | Art. 9 ust. 2 lit. h RODO |
| Dane kontaktowe Pacjentów | Komunikacja w ramach sesji diagnostycznej | Art. 6 ust. 1 lit. b RODO |
Wyniki testów psychologicznych stanowią dane dotyczące zdrowia w rozumieniu art. 9 RODO (kategoria szczególna) i podlegają wzmocnionej ochronie.
§ 4. Kategorie osób, których dane dotyczą
- Pacjenci (osoby badane) — osoby fizyczne poddawane diagnostyce psychologicznej
- Nieletni — wyłącznie za zgodą opiekunów prawnych
- Podmioty trzecie — wymienione przez Pacjenta w trakcie badania
§ 5. Obowiązki Procesora (Noesis Sp. z o.o.)
- Poufność: Procesor przetwarza dane wyłącznie na udokumentowane polecenie Administratora i zapewnia, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy.
- Bezpieczeństwo: Procesor wdraża środki techniczne i organizacyjne zgodne z art. 32 RODO, w tym:
- Szyfrowanie danych (AES-256) i transmisji (TLS 1.3)
- Haszowanie haseł (bcrypt)
- Polityka dostępu na zasadzie najmniejszych uprawnień (RBAC)
- Pełny audit trail operacji na danych Pacjentów
- Regularne kopie zapasowe
- Podprocesory: Procesor może korzystać z usług podprocesorów wyłącznie z zachowaniem warunków niniejszej umowy (§ 7).
- Wsparcie: Procesor wspiera Administratora w wywiązywaniu się z obowiązków RODO (prawa podmiotów danych, zgłaszanie naruszeń).
- Audyt: Procesor udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków wynikających z art. 28 RODO.
- Naruszenia: Procesor niezwłocznie (nie później niż 24h) powiadamia Administratora o naruszeniu ochrony danych.
§ 6. Obowiązki Administratora (Psycholog)
- Zapewnienie pacjentom informacji o przetwarzaniu danych (klauzula informacyjna).
- Uzyskanie zgody pacjenta lub innej podstawy prawnej przed badaniem.
- Przetwarzanie wyłącznie danych niezbędnych do celów diagnostycznych (minimalizacja danych).
- Niezwłoczne informowanie Procesora o żądaniach podmiotów danych.
- Przyjęcie odpowiedzialności za decyzje diagnostyczne — platforma jest narzędziem wspomagającym, nie zastępuje oceny klinicznej.
§ 7. Podprocesory
Procesor korzysta z następujących podprocesorów, z którymi zawarł umowy powierzenia zgodne z art. 28 RODO:
| Podprocesor | Rola | Lokalizacja | Polityka prywatności |
|---|---|---|---|
| Self-hosted VPS provider | Hosting aplikacji, bazy danych i uwierzytelniania | UE | Privacy Policy |
| Resend Inc. | Wysyłka wiadomości e-mail | USA (Standard Contractual Clauses) | Privacy Policy |
| Stripe Inc. | Obsługa płatności | USA / UE (Standard Contractual Clauses) | Privacy Policy |
Administrator wyraża ogólną zgodę na korzystanie z podprocesorów wymienionych powyżej. O wszelkich planowanych zmianach Procesor informuje z wyprzedzeniem 30 dni.
§ 8. Prawa podmiotów danych
Procesor niezwłocznie przekazuje Administratorowi żądania podmiotów danych dotyczące:
- Dostępu do danych (art. 15 RODO)
- Sprostowania danych (art. 16 RODO)
- Usunięcia danych (art. 17 RODO) — dane usuwane w ciągu 30 dni
- Ograniczenia przetwarzania (art. 18 RODO)
- Przenoszenia danych (art. 20 RODO) — eksport w formacie JSON/PDF
§ 9. Przekazywanie danych do państw trzecich
Dane Pacjentów przechowywane są na serwerach w Unii Europejskiej (Supabase eu-central-1). Przekazywanie danych poza EOG (Resend, Stripe) odbywa się na podstawie Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską.
§ 10. Postanowienia końcowe
- Umowa podlega prawu polskiemu i przepisom RODO.
- W sprawach nieuregulowanych niniejszą umową zastosowanie mają przepisy RODO oraz Kodeksu Cywilnego.
- Wszelkie spory rozstrzygane są przez właściwy sąd powszechny lub Prezesa Urzędu Ochrony Danych Osobowych.
- Umowa wchodzi w życie z dniem akceptacji Regulaminu platformy Noesis.
Akceptacja umowy
Korzystając z platformy Noesis i akceptując Regulamin, Psycholog zawiera niniejszą Umowę Powierzenia Danych. Akceptacja jest rejestrowana z datą, godziną i adresem IP.
Pytania dotyczące umowy: iod@noesis.pl