Umowa powierzenia według RODO – o tych zasadach musisz pamiętać

Piotr Glen

Autor: Piotr Glen

Dodano: 30 października 2017
Umowa powierzenia według RODO – o tych zasadach musisz pamiętać

Ogólne rozporządzenie o ochronie danych (RODO) bardzo szczegółowo reguluje i określa zasady powierzenia danych do przetwarzania i współpracy z podmiotami przetwarzającymi. Sprawdź, jakie zapisy trzeba zawrzeć w umowie powierzenia, żeby była zgodna z RODO.

Jeżeli przetwarzanie danych ma być dokonywane w imieniu administratora, powinien on korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą (art. 28 RODO).

Podmiot przetwarzający nie może korzystać z usług innego podmiotu przetwarzającego (podwykonawcy) bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających – podwykonawców, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

Obowiązek podpisania umowy – wciąż aktualny

Przetwarzanie przez podmiot przetwarzający musi odbywać się na podstawie umowy lub innego instrumentu prawnego wiążącego podmiot przetwarzający i administratora. Taka umowa albo inny instrument prawny określają:

  • przedmiot i czas trwania przetwarzania,
  • charakter i cel przetwarzania,
  • rodzaj danych osobowych,
  • kategorie osób, których dane dotyczą,
  • obowiązki i prawa administratora.

Jakie zapisy trzeba zawrzeć w umowie powierzenia

W umowie powierzenia, która może być załącznikiem lub aneksem do umowy na określoną usługę albo też częścią i treścią umowy głównej, należy zawrzeć postanowienia zobowiązujące procesora do:

1. Wdrożenia zabezpieczeń

W umowie powierzenia trzeba zobowiązać podmiot przetwarzający (zleceniobiorcę), aby zastosował środki techniczne i organizacyjne, które mają na celu należyte, odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, zabezpieczenie powierzonych do przetwarzania danych osobowych. W szczególności chodzi o zabezpieczenie ich przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Zleceniobiorca powinien oświadczyć też, że systemy informatyczne zastosowane do przetwarzania powierzonych danych spełniają wymogi aktualnie obowiązujących przepisów prawa.

2. Nadania pracownikom upoważnień

Podmiot przetwarzający (zleceniobiorca) w umowie powierzenia powinien oświadczyć, że osobom zatrudnionym przy przetwarzaniu powierzonych danych osobowych nadał upoważnienia do przetwarzania danych osobowych. Powinien także zapewnić, że osoby te zostały zapoznane z przepisami o ochronie danych osobowych oraz z odpowiedzialnością za ich nieprzestrzeganie, a także zobowiązały się do ich przestrzegania oraz do bezterminowego zachowania w tajemnicy przetwarzanych danych osobowych i sposobów ich zabezpieczenia.

3. Podpowierzania danych tylko za zgodą administratora

W umowie powierzenia warto zobowiązać podmiot przetwarzający, aby nie korzystał z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora.

4. Wspomagania administratora w realizacji praw podmiotów danych

Podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, w miarę możliwości powinien pomagać administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw.

5. Wspomagania administratora w realizacji pozostałych obowiązków

W umowie powierzenia trzeba zobowiązać podmiot przetwarzający, aby uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomagał administratorowi wywiązać się z obowiązków określonych w art. 32–36 ogólnego rozporządzenia o ochronie danych (RODO). Chodzi o obowiązki: zapewnienia bezpieczeństwa przetwarzania, zgłaszania naruszeń ochrony danych organowi nadzorczemu i zawiadamiania o nich osoby, której dane dotyczą, przeprowadzania oceny skutków dla ochrony danych i uprzednich konsultacji z organem nadzorczym.

6. Usunięcia danych po zakończeniu przetwarzania i przekazania ich kopii

Należy określić w umowie powierzenia, że podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że szczególne przepisy prawa nakazują przechowywanie danych osobowych.

7. Udostępnienia niezbędnych informacji

Administrator musi zobowiązać podmiot przetwarzający, by udostępnił mu wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w umowie oraz umożliwił administratorowi lub upoważnionemu przez niego audytorowi przeprowadzanie audytów, w tym inspekcji, i przyczyniał się do nich.

8. Ponoszenia odpowiedzialności za przetwarzanie niezgodne z umową

Administrator ponosi odpowiedzialność za przestrzeganie przepisów prawa w zakresie przetwarzania i ochrony danych osobowych według ogólnego rozporządzenia o ochronie danych (RODO). Nie wyłącza to odpowiedzialności zleceniobiorcy (podmiotu przetwarzającego) za przetwarzanie powierzonych danych niezgodnie z umową. W umowie należy zapisać, że podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem, jeśli nie dopełnił obowiązków, które nakłada na niego ta umowa, lub gdy działał poza zgodnymi z prawem instrukcjami administratora albo wbrew tym instrukcjom.

9. Wyboru podwykonawcy spełniającego wymogi umowy

W umowie powierzenia trzeba uregulować, że jeżeli do przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego (podwykonawcy), na ten inny podmiot zostają nałożone te same obowiązki, co w umowie między administratorem a podmiotem przetwarzającym. W szczególności chodzi o obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających odpowiednią ochronę danych. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.

10. Działania w ramach umowy

Podmiot przetwarzający trzeba zobowiązać do przetwarzania powierzonych danych osobowych wyłącznie w celach związanych z realizacją umowy i wyłącznie w zakresie, jaki jest niezbędny do realizacji tych celów. Na wniosek administratora zleceniobiorca powinien wskazać miejsca, w których przetwarza powierzone dane.

Ważne:

W ramach realizacji planu wdrożenia ogólnego rozporządzenia o ochronie danych (RODO) w organizacji należy sprawdzić i zapewne zaktualizować, aneksować wszelkie umowy z podmiotami zewnętrznymi, z którymi współpraca zobowiązuje lub umożliwia zleceniobiorcy/wykonawcy dostęp do informacji zawierających dane osobowe, oraz na nowo określić zasady współpracy z takimi podmiotami przetwarzającymi.

Piotr Glen

Autor: Piotr Glen

doświadczony administrator bezpieczeństwa informacji pełniący tę funkcję dla wielu firm i instytucji, trener i audytor

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel