Umowa o współpracy biznesowej
Wprowadzenie
Niniejsza umowa o współpracy biznesowej (zwana dalej „Umowa") zostaje zawarta z dniem [Data] pomiędzy [Nazwa podmiotu objętego umową], podmiotem z siedzibą w [Stan, w którym podmiot został zarejestrowany/założony, wraz z nazwą kraju], którego główna siedziba znajduje się pod adresem [Adres podmiotu objętego umową, wraz z nazwą kraju] („Podmiot objęty przepisami") oraz Doodle AG, spółka z siedzibą w Szwajcarii, której główna siedziba znajduje się pod adresem Werdstrasse 21, 8004 Zurych, Szwajcaria („Partner biznesowy"). Podmiot objęty przepisami oraz partner biznesowy są po kolei „Impreza” oraz łącznie „Strony”.
Niniejsza umowa stanowi część Ramowej umowy o świadczenie usług oraz poszczególnych zamówień zawartych między podmiotem objętym umową a partnerem biznesowym.
Punkty preambuły
A. Podmiot objęty przepisami to „podmiot objęty przepisami” lub „partner biznesowy” takiego podmiotu, zgodnie z definicjami zawartymi w ustawie o przenoszeniu i odpowiedzialności w zakresie informacji zdrowotnych z 1996 r. („HIPAA”) oraz przepisach wykonawczych do niej, w tym w zasadach dotyczących prywatności i bezpieczeństwa HIPAA (łącznie „Przepisy ustawy HIPAA").
B. Partner biznesowy świadczy na rzecz podmiotu objętego umową określone usługi na podstawie poszczególnych zleceń wydanych w ramach ramowej umowy o świadczenie usług, które mogą od czasu do czasu wiązać się z tworzeniem, otrzymywaniem, przechowywaniem lub przekazywaniem chronionych informacji zdrowotnych („PHI") w imieniu podmiotu objętego przepisami.
C. Strony zamierzają przestrzegać przepisów ustawy HIPAA, w tym wymogów dotyczących umowy z podmiotem współpracującym, określonych w 45 C.F.R. § 164.314(a) oraz § 164.504(e).
1. Definicje
Naruszenie: Zgodnie z definicją zawartą w 45 C.F.R. § 164.402.
Agregacja danych: Zgodnie z definicją zawartą w 45 C.F.R. § 164.501.
Elektroniczne chronione dane medyczne (ePHI): oznacza chronione informacje zdrowotne będące ePHI, zgodnie z definicją zawartą w 45 C.F.R. § 160.103.
Rama umowy o świadczenie usług (lub MSA): oznacza Ramową umowę o świadczenie usług zawartą między podmiotem objętym przepisami a partnerem biznesowym, podpisaną w dniu [wstawić datę ostatniego podpisu]
Data wejścia w życie ramowej umowy o świadczenie usług: ma znaczenie nadane mu na mocy ustawy MSA.
Zamówienie indywidualne: ma znaczenie nadane mu na mocy ustawy MSA.
Chronione informacje dotyczące zdrowia (PHI): Zgodnie z definicją zawartą w 45 C.F.R. § 160.103, z zastrzeżeniem, że dotyczy to wyłącznie informacji tworzonych, otrzymywanych, przechowywanych lub przekazywanych przez partnera biznesowego dla podmiotu objętego przepisami, od niego lub w jego imieniu.
Zasada bezpieczeństwa: Normy, wymagania i specyfikacje wdrożeniowe zawarte w 45 C.F.R., część 160 oraz część 164, podczęść C.
Zasady dotyczące ochrony prywatności: Normy, wymagania i specyfikacje wdrożeniowe zawarte w 45 C.F.R., część 160 oraz część 164, podczęść E.
Niezabezpieczone chronione informacje dotyczące zdrowia: Zgodnie z definicją zawartą w 45 C.F.R. § 164.402.
Wszelkie terminy, które nie zostały zdefiniowane w niniejszym dokumencie, mają znaczenie nadane im zgodnie z przepisami HIPAA.
2. Dozwolone sposoby wykorzystania i ujawniania danych medycznych (PHI)
2.1. Dozwolone sposoby wykorzystania i ujawniania danych. Partner biznesowy może wykorzystywać lub ujawniać dane medyczne (PHI) wyłącznie w zakresie niezbędnym do wykonywania funkcji, działań lub świadczenia usług na rzecz podmiotu objętego umową, zgodnie z postanowieniami Ramowej umowy o świadczenie usług oraz wszelkich powiązanych z nią indywidualnych zamówień zawartych między Stronami, lub zgodnie z wymogami prawa.
2.2. Zarządzanie i administracja. Partner biznesowy może wykorzystywać dane medyczne (PHI) w celu właściwego zarządzania i administrowania swoją działalnością lub w celu wypełnienia swoich obowiązków prawnych. Ujawnianie informacji w tych celach jest dozwolone wyłącznie wtedy, gdy jest wymagane przez prawo lub gdy partner biznesowy uzyska od osoby, której ujawnia informacje, uzasadnione zapewnienie, że informacje te pozostaną poufne i będą wykorzystywane lub dalej ujawniane wyłącznie zgodnie z wymogami prawa lub w celu, w jakim zostały tej osobie ujawnione, oraz osoba ta powiadomi partnera biznesowego o wszelkich znanych jej przypadkach naruszenia poufności tych informacji.
2.3. Agregacja danych. Partner biznesowy może wykorzystywać dane medyczne (PHI) w celu świadczenia Agregacja danych usługi związane z działalnością podmiotu objętego przepisami w zakresie opieki zdrowotnej, w zakresie dozwolonym lub wymaganym do wykonywania funkcji, działań lub świadczenia usług określonych w odpowiednich indywidualnych zamówieniach zawartych między Stronami.
2.4 Anonimizacja. Partner biznesowy może wykorzystywać dane medyczne podlegające ochronie (PHI) do tworzenia danych pozbawionych elementów umożliwiających identyfikację, zgodnie z postanowieniami Ramowej umowy o świadczenie usług lub poszczególnych zamówień zawartych między Stronami, pod warunkiem że takie wykorzystanie danych PHI spełnia standardy anonimizacji określone w Przepisy dotyczące ochrony prywatności w ramach ustawy HIPAA.
3. Obowiązki partnera biznesowego
3.1. Środki zabezpieczające. Partner biznesowy zobowiązuje się do stosowania odpowiednich środków zabezpieczeń administracyjnych, fizycznych i technicznych w celu zapobiegania wykorzystywaniu lub ujawnianiu danych medycznych (PHI) w sposób inny niż przewidziany w niniejszej umowie. Partner biznesowy jest zobowiązany do przestrzegania obowiązujących wymogów Przepisy bezpieczeństwa HIPAA (45 C.F.R., część 164, podczęść C) w odniesieniu do ePHI.
3.2. Niezbędne minimum. Partner biznesowy powinien, w miarę możliwości, ograniczyć wykorzystywanie i ujawnianie danych medycznych (PHI) do minimum niezbędnego do osiągnięcia zamierzonego celu.
3.3. Zgłaszanie naruszeń i nieuprawnionego ujawnienia danych. Partner biznesowy ma obowiązek zgłaszać Podmiotowi objętemu umową każde wykorzystanie lub ujawnienie danych medycznych (PHI), które nie jest przewidziane w niniejszej umowie i o którym się dowie. Obejmuje to między innymi: naruszenia bezpieczeństwa niezabezpieczonych danych medycznych (PHI) zgodnie z wymogami 45 C.F.R. § 164.410. Partner biznesowy ma obowiązek przekazać takie powiadomienie bez nieuzasadnionej zwłoki, a w żadnym wypadku nie później niż 60 dni kalendarzowych od wykrycia naruszenia. Powiadomienie musi zawierać, w miarę możliwości, dane identyfikacyjne każdej osoby, której niezabezpieczone dane medyczne (PHI) zostały naruszone, oraz wszelkie inne informacje niezbędne podmiotowi objętemu przepisami do wypełnienia obowiązków w zakresie powiadamiania o naruszeniach wynikających z przepisów HIPAA.
3.4. Podwykonawcy. Partner biznesowy ma obowiązek zapewnić, aby wszyscy podwykonawcy, którzy tworzą, otrzymują, przechowują lub przekazują dane medyczne (PHI) w imieniu partnera biznesowego, zgodzili się na te same ograniczenia i warunki, które mają zastosowanie do partnera biznesowego w odniesieniu do takich informacji.
3.5. Obowiązki podmiotu objętego przepisami. Partner biznesowy, w zakresie, w jakim wypełnia jedno lub więcej zobowiązań podmiotu objętego przepisami wynikających z zasady ochrony prywatności HIPAA, ma obowiązek przestrzegać wymogów tej zasady, które mają zastosowanie do podmiotu objętego przepisami przy wypełnianiu takich zobowiązań.
3.6 Prawa jednostki.
W zakresie, w jakim Partner Biznesowy przechowuje dane medyczne o charakterze chronionym (PHI) w wyznaczonym zbiorze dokumentacji dla Podmiotu Objętego Regulacją, Partner Biznesowy udostępni takie dane PHI:
w celu zapewnienia dostępu podmiotom objętym przepisami, zgodnie z wymogami 45 C.F.R. § 164.524.
w celu wprowadzenia zmian przez podmiot objęty przepisami (lub, zgodnie z wytycznymi tego podmiotu, w celu uwzględnienia zmian w danych medycznych (PHI)), zgodnie z wymogami 45 C.F.R. § 164.526.
Należy przedstawić zestawienie ujawnionych informacji zgodnie z wymogami określonymi w 45 C.F.R. § 164.528.
3.6. Dostępność dokumentacji. Partner biznesowy udostępni sekretarzowi Departamentu Zdrowia i Opieki Społecznej swoje wewnętrzne procedury, księgi i dokumentację dotyczące wykorzystywania i ujawniania danych medycznych chronionych (PHI) otrzymanych od podmiotu objętego przepisami lub utworzonych lub otrzymanych w jego imieniu, w celu ustalenia zgodności z przepisami HIPAA.
3.7. Offshoring. Partner biznesowy może prowadzić działalność w ramach outsourcingu zagranicznego obejmującą dane medyczne (PHI) w związku z funkcjami, działaniami i usługami określonymi w Ramowej umowie o świadczenie usług oraz wszelkich indywidualnych zamówieniach zawartych między Stronami.
4. Obowiązki podmiotu objętego przepisami
4.1. Dozwolone ujawnianie informacji. Podmiot objęty przepisami ma obowiązek powiadomić partnera biznesowego o wszelkich ograniczeniach zawartych w jego oświadczeniu o zasadach ochrony prywatności, a także o wszelkich zmianach lub cofnięciu zgody udzielonej przez osobę fizyczną na wykorzystywanie lub ujawnianie danych medycznych (PHI), w zakresie, w jakim takie ograniczenia mogą mieć wpływ na wykorzystywanie lub ujawnianie danych medycznych (PHI) przez partnera biznesowego.
5. Zakres stosowania, okres obowiązywania i wypowiedzenie
5.1. Zakres stosowania. Niniejsza Umowa ma zastosowanie wyłącznie do przetwarzania danych medycznych (PHI) przez Partnera Biznesowego i Podmiot Objęty Przepisami na podstawie poszczególnych zleceń, o ile, w zakresie i tak długo, jak takie przetwarzanie podlega przepisom HIPAA, z wyłączeniem wszelkiego innego przetwarzania danych przez Partnera Biznesowego i/lub Podmiot Objęty Przepisami.
5.2. Okres obowiązywania. Niniejsza Umowa wchodzi w życie z dniem wejścia w życie Ramowej Umowy o Świadczenie Usług i wygasa automatycznie w momencie, który nastąpi później spośród: a) upływu okresu obowiązywania Ramowej Umowy o Świadczenie Usług lub b) upływu okresu obowiązywania ostatniego z Indywidualnych Zamówień.
5.3. Rozwiązanie umowy z ważnej przyczyny. Podmiot objęty przepisami może wypowiedzieć niniejszą umowę ze skutkiem natychmiastowym, jeżeli stwierdzi, że partner biznesowy naruszył istotny warunek umowy.
5.4. Skutki rozwiązania umowy. W przypadku rozwiązania niniejszej Umowy z jakiegokolwiek powodu Partner biznesowy zaprzestanie świadczenia usług związanych z danymi medycznymi (PHI) w ramach istniejących zleceń indywidualnych oraz zwróci Podmiotowi objętemu umową lub zniszczy wszystkie dane medyczne (PHI) otrzymane od Podmiotu objętego umową lub utworzone lub otrzymane w jego imieniu, które Partner biznesowy nadal przechowuje w jakiejkolwiek formie. Partner biznesowy nie może zatrzymywać żadnych kopii takich informacji. Jeżeli zwrot lub zniszczenie nie jest możliwe (w tym w przypadku istnienia prawnego lub regulacyjnego obowiązku przechowywania), Partner biznesowy rozszerzy ochronę wynikającą z niniejszej Umowy na dane PHI oraz ograniczy ich dalsze wykorzystywanie i ujawnianie wyłącznie do tych celów, które uniemożliwiają zwrot lub zniszczenie tych informacji. Dla jasności, wypowiedzenie niniejszej Umowy z jakiegokolwiek powodu nie powoduje automatycznego wygaśnięcia/wypowiedzenia Ramowej Umowy o Świadczenie Usług i/lub jakichkolwiek Indywidualnych Zamówień, które pozostają w mocy zgodnie z ich warunkami (z tym wyjątkiem, że Partner Biznesowy nie jest już zobowiązany do świadczenia i zaprzestanie świadczenia usług związanych z danymi medycznymi (PHI) w ramach istniejących Indywidualnych Zamówień) , a Partner objęty umową będzie nadal uiszczał opłaty określone w poszczególnych zamówieniach.
6. Różne
6.1. Konflikt. W przypadku jakiejkolwiek sprzeczności lub rozbieżności W przypadku rozbieżności między postanowieniami niniejszej Umowy a postanowieniami Umowy ramowej (MSA) i/lub jakiegokolwiek Zlecenia indywidualnego, postanowienia niniejszej Umowy mają pierwszeństwo wyłącznie w odniesieniu do warunków określonych w niniejszej Umowie.
6.2. Zmiany. Niniejsza zmiana nie może zostać zmodyfikowana inaczej niż na podstawie pisemnego dokumentu podpisanego przez Strony (wymóg ten dotyczy również wszelkich zmian niniejszego punktu 6.2). W zakresie, w jakim właściwy organ stwierdzi, że Umowa nie spełnia wymogów przepisów HIPAA, Podmiot objęty przepisami oraz Partner biznesowy zobowiązują się do współpracy w dobrej wierze w celu zmiany Umowy lub zawarcia dalszych, wzajemnie akceptowalnych umów, mających na celu zapewnienie zgodności z przepisami HIPAA.
6.3. Odpowiedzialność: Odpowiedzialność każdej ze Stron wynikająca z niniejszej Umowy lub z nią związana, niezależnie od tego, czy wynika ona z umowy, czynu niedozwolonego czy też z jakiejkolwiek innej podstawy odpowiedzialności, podlega ograniczeniom odpowiedzialności zawartym w umowie MSA.
6.4. Brak beneficjentów będących osobami trzecimi. Żadne postanowienie niniejszej Umowy, wyraźne ani dorozumiane, nie ma na celu przyznania, ani też żadne z postanowień niniejszej Umowy nie przyznaje żadnej osobie innej niż Strony oraz ich odpowiedni następcy prawni lub cesjonariusze jakichkolwiek praw, środków prawnych, obowiązków ani odpowiedzialności.
6.5. Interpretacja. Wszelkie niejasności zawarte w niniejszej Umowie należy rozstrzygać w sposób umożliwiający Podmiotowi objętemu przepisami oraz Partnerowi biznesowemu przestrzeganie przepisów HIPAA.
6.6. Prawo właściwe i sąd właściwy. Ważność, treść, egzekwowanie i interpretacja niniejszej Umowy podlegają prawu stanu Nowy Jork, o ile niniejsza Umowa nie stanowi inaczej, z wyjątkiem przepisów dotyczących kolizji praw. Wszelkie roszczenia, spory i inne kwestie wynikające z niniejszej Umowy lub jej naruszenia będą rozstrzygane w ramach postępowania wszczętego i prowadzonego przed właściwym sądem w stanie Nowy Jork, a Strony niniejszej Umowy wyraźnie wyrażają zgodę na właściwość miejscową i rzeczową tego sądu.
W DOWÓD CZEGO, Strony niniejszej Umowy podpisały niniejszą Umowę w dniu wskazanym na początku powyższego tekstu.
[Nazwa podmiotu objętego przepisami]
Autor: ___________________________
Imię i nazwisko: _________________________
Tytuł: _________________________
Doodle AG
Autor: ___________________________
Imię i nazwisko: _________________________
Tytuł: _________________________
Autor: ___________________________
Imię i nazwisko: ____________________________
Tytuł: _______________________________
Ostatnia aktualizacja: 12 marca 2026 r.