远程医疗数据传输合同（2025年欧盟版）

远程医疗数据传输合同（2025年欧盟版）甲方（数据控制者）：[甲方名称]统一商业识别码：[甲方UCR]地址：[甲方地址]联系方式：[甲方联系方式]乙方（数据处理者）：[乙方名称]统一商业识别码：[乙方UCR]地址：[乙方地址]联系方式：[乙方联系方式]鉴于甲方为提供远程医疗服务，需要借助乙方的数据处理能力进行个人健康数据的传输和处理；鉴于乙方同意根据本合同约定，作为数据处理者处理甲方的个人健康数据；鉴于双方希望依据适用的欧盟数据保护法律，特别是《通用数据保护条例》（GDPR）（2023年修订版）及《数据自由法案》（2023年修订版）（以下统称“数据保护法规”），明确双方在个人健康数据传输和处理方面的权利与义务。第一条数据处理的目的和方式1.1乙方的处理目的仅限于为实现甲方提供远程医疗服务之目的，具体包括但不限于：[在此处列出具体目的，例如：提供远程诊断咨询、管理患者电子健康记录、进行患者远程病情监测、传输医疗设备生成的遥测数据、确保数据在传输过程中的安全性等]。1.2乙方同意仅按照甲方的明确指令进行数据处理，包括但不限于传输的数据类型、传输的接收方（需事先获得甲方的事先书面同意或基于甲方明确授权的法律基础）、传输的路径、传输的频次和持续时间。乙方不得对处理目的、方式或内容进行任何修改，除非获得甲方的书面授权。1.3甲方有权要求乙方记录其处理活动，并可在合理范围内访问这些记录。第二条对数据控制者权利的保障2.1乙方确认并同意，甲方作为数据控制者，依据数据保护法规及其后续发展，享有各项法定权利。乙方承诺建立必要的内部流程，以保障甲方能够有效行使以下权利：(a)访问其个人健康数据的权利；(b)要求更正其不准确个人健康数据的权利；(c)要求删除其个人健康数据的权利（被遗忘权）；(d)要求限制对其个人健康数据处理的权利；(e)要求甲方将其个人健康数据转移给另一控制者的权利（数据可携带权）；(f)反对其个人健康数据处理的权利；(g)（如适用）反对将其个人健康数据用于自动化决策的权利；(h)（如适用）撤回其同意处理其个人健康数据的权利；(i)要求解释其个人健康数据处理活动的权利。2.2甲方行使前款所述权利时，乙方应提供必要的协助，并在其能力范围内，及时响应甲方的合理请求。第三条数据主体的权利保障3.1乙方同意，其处理个人健康数据的行为应始终符合数据保护法规对数据处理者的要求，以保障数据主体的各项合法权益。3.2甲方作为数据控制者，负责接收和处理数据主体提出的访问、更正、删除等请求。乙方有义务将此类请求及时、准确转达给甲方。除数据主体明确要求直接与乙方沟通的情形外，乙方应不干预甲方对请求的处理。第四条数据安全与保密义务4.1乙方同意采取与处理个人健康数据的性质、数量、预期风险以及所采取的安全措施的技术特性相适应的技术和组织措施，确保个人健康数据的安全。这些措施应旨在：(a)保护个人健康数据免遭未经授权或非法的处理；(b)保护个人健康数据免遭意外丢失、破坏或损坏；(c)确保个人健康数据的机密性。4.2具体安全措施包括但不限于：实施加密技术（如传输过程中的TLS/SSL加密，存储时的加密），实施严格的访问控制机制（基于“需要知道”原则），定期进行安全审计和风险评估，对接触个人健康数据的员工进行数据保护培训，制定并执行数据备份和恢复计划，以及制定并演练数据泄露应急响应计划。4.3乙方承诺对其在履行本合同过程中接触到的所有个人健康数据承担严格的保密义务。未经甲方事先书面同意，乙方不得向任何第三方（包括乙方的关联公司，除非为履行本合同所必需）披露任何个人健康数据。法律、法规或监管机构要求乙方披露的除外。4.4乙方应确保其员工、代理人以及任何被授权访问个人健康数据的第三方，均了解其保密义务，并遵守相关数据保护要求。4.5发生或怀疑发生个人健康数据泄露事件时，乙方应立即通知甲方，并协助甲方采取措施控制泄露范围、评估影响，并按照数据保护法规要求通知监管机构和数据主体（如适用）。第五条数据传输的限制与例外5.1任何涉及将个人健康数据传输至欧盟委员会已认定具有充分保护水平的国家/地区，或基于其他合法的数据传输机制（如经修订的欧盟标准合同条款SCCs、具有约束力的EU-US数据保护框架或适用的充分性认定）的传输，均需事先获得甲方的书面同意或基于甲方明确授权的法律基础。5.2乙方在传输个人健康数据前，应向甲方提供关于数据接收方的必要信息，并确保接收方遵守不低于数据保护法规的数据保护标准。第六条数据的最小化原则6.1乙方承诺仅在实现本合同第一条约定的目的所必需的范围内处理个人健康数据，不得处理与该目的无关的、超出必要范围的个人健康数据。第七条合同期限与数据存储期限7.1本合同自双方签字盖章之日起生效，有效期为[合同期限年限]年，除非提前终止。7.2除本合同另有约定或数据保护法规要求外，乙方处理个人健康数据的期限应受甲方指令的约束，通常限于提供服务所必需的期间。合同终止时或根据甲方指令，乙方应停止处理所有个人健康数据，并根据甲方的书面要求，在确保数据安全的前提下，删除或返还所持有的个人健康数据，或提供删除证明。第八条数据保护影响评估（DPIA）8.1如果甲方的远程医疗服务或本合同项下的数据处理活动可能带来高风险（特别是涉及大规模处理特殊类别数据，如个人健康数据），甲方应进行数据保护影响评估（DPIA）。8.2乙方应在甲方要求时，根据其专业知识，为甲方进行或评估DPIA提供合理的协助。第九条违约责任与赔偿9.1若乙方未能履行本合同项下的义务，特别是违反数据安全、保密义务、泄露通知义务、未能保障数据主体权利或违反数据保护法规的要求，应被视为违约。9.2除非因不可抗力、数据主体过错或甲方未履行其义务导致，乙方应对因其违约行为给甲方造成的直接、可证明的损失承担赔偿责任。赔偿总额不超过乙方在本合同下过去[一年/两年]度从甲方获得的总费用。9.3上述赔偿责任限制不适用于因乙方故意或重大过失导致的损失，或因乙方未能保护个人健康数据的义务而导致的监管处罚、罚款或罚款性支付。第十条不可抗力10.1双方同意，任何一方因不可抗力（指不能预见、不能避免并不能克服的客观情况，如自然灾害、战争、全国性或地区性的骚乱、政府行为、流行病等）而无法履行本合同的部分或全部义务时，不承担违约责任。10.2遭遇不可抗力的一方应在不可抗力发生后[合理时间，例如：五（5）]个工作日内通知另一方，并提供相关证明。双方应根据不可抗力的影响，协商决定是否延期履行、部分履行或终止合同。第十一条争议解决11.1因本合同引起的或与本合同有关的任何争议，双方应首先通过友好协商解决。11.2若协商不成，任何一方均有权将争议提交至[选择一项：甲方所在地有管辖权的人民法院诉讼解决/欧盟境内约定的某个仲裁机构，并遵循该机构的仲裁规则]。第十二条法律适用与通知12.1本合同的订立、效力、解释、履行及争议解决均适用欧盟法律，特别是适用数据保护法规。12.2双方就本合同事项发送的所有通知、请求或其他通信，均应通过书面形式（包括电子邮件、传真或挂号信）发送至本合同首部列明的地址或双方后续书面通知的地址。第十三条合同的完整性与修订13.1本合同构成双方就本合同主题达成的完整协议，取代双方此前就此达成的所有口头或书面协议、谅解或安排。13.2对本合同的任何修改或补充，均需以书面形式作出，并经双方授权代表签字后生效。第十四条