Umowa powierzenia według RODO – o tych zasadach musisz pamiętać

Jeżeli przetwarzanie danych ma być dokonywane w imieniu administratora, powinien on korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą (art. 28 RODO).

Podmiot przetwarzający nie może korzystać z usług innego podmiotu przetwarzającego (podwykonawcy) bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających – podwykonawców, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

Przetwarzanie przez podmiot przetwarzający musi odbywać się na podstawie umowy lub innego instrumentu prawnego wiążącego podmiot przetwarzający i administratora. Taka umowa albo inny instrument prawny określają:

• przedmiot i czas trwania przetwarzania,
• charakter i cel przetwarzania,
• rodzaj danych osobowych,
• kategorie osób, których dane dotyczą,
• obowiązki i prawa administratora.

W umowie powierzenia, która może być załącznikiem lub aneksem do umowy na określoną usługę albo też częścią i treścią umowy głównej, należy zawrzeć postanowienia zobowiązujące procesora do:

W umowie powierzenia trzeba zobowiązać podmiot przetwarzający (zleceniobiorcę), aby zastosował środki techniczne i organizacyjne, które mają na celu należyte, odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, zabezpieczenie powierzonych do przetwarzania danych osobowych. W szczególności chodzi o zabezpieczenie ich przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Zleceniobiorca powinien oświadczyć też, że systemy informatyczne zastosowane do przetwarzania powierzonych danych spełniają wymogi aktualnie obowiązujących przepisów prawa.

Podmiot przetwarzający (zleceniobiorca) w umowie powierzenia powinien oświadczyć, że osobom zatrudnionym przy przetwarzaniu powierzonych danych osobowych nadał upoważnienia do przetwarzania danych osobowych. Powinien także zapewnić, że osoby te zostały zapoznane z przepisami o ochronie danych osobowych oraz z odpowiedzialnością za ich nieprzestrzeganie, a także zobowiązały się do ich przestrzegania oraz do bezterminowego zachowania w tajemnicy przetwarzanych danych osobowych i sposobów ich zabezpieczenia.

W umowie powierzenia warto zobowiązać podmiot przetwarzający, aby nie korzystał z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora.

Podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, w miarę możliwości powinien pomagać administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw.

W umowie powierzenia trzeba zobowiązać podmiot przetwarzający, aby uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomagał administratorowi wywiązać się z obowiązków określonych w art. 32–36 ogólnego rozporządzenia o ochronie danych (RODO). Chodzi o obowiązki: zapewnienia bezpieczeństwa przetwarzania, zgłaszania naruszeń ochrony danych organowi nadzorczemu i zawiadamiania o nich osoby, której dane dotyczą, przeprowadzania oceny skutków dla ochrony danych i uprzednich konsultacji z organem nadzorczym.

Należy określić w umowie powierzenia, że podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że szczególne przepisy prawa nakazują przechowywanie danych osobowych.

Administrator musi zobowiązać podmiot przetwarzający, by udostępnił mu wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w umowie oraz umożliwił administratorowi lub upoważnionemu przez niego audytorowi przeprowadzanie audytów, w tym inspekcji, i przyczyniał się do nich.

Administrator ponosi odpowiedzialność za przestrzeganie przepisów prawa w zakresie przetwarzania i ochrony danych osobowych według ogólnego rozporządzenia o ochronie danych (RODO). Nie wyłącza to odpowiedzialności zleceniobiorcy (podmiotu przetwarzającego) za przetwarzanie powierzonych danych niezgodnie z umową. W umowie należy zapisać, że podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem, jeśli nie dopełnił obowiązków, które nakłada na niego ta umowa, lub gdy działał poza zgodnymi z prawem instrukcjami administratora albo wbrew tym instrukcjom.

W umowie powierzenia trzeba uregulować, że jeżeli do przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego (podwykonawcy), na ten inny podmiot zostają nałożone te same obowiązki, co w umowie między administratorem a podmiotem przetwarzającym. W szczególności chodzi o obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających odpowiednią ochronę danych. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.

Podmiot przetwarzający trzeba zobowiązać do przetwarzania powierzonych danych osobowych wyłącznie w celach związanych z realizacją umowy i wyłącznie w zakresie, jaki jest niezbędny do realizacji tych celów. Na wniosek administratora zleceniobiorca powinien wskazać miejsca, w których przetwarza powierzone dane.