Przekazanie danych przez administratora kontrahentowi, który nie ma własnego celu i podstawy przetwarzania, wymaga zawarcia umowy powierzenia przetwarzania danych. Rodzi się pytanie, w jaki sposób zdefiniować w umowie powierzenia danych osobowych zakres czyli rodzaj przekazywanych danych. Zakres ten w przypadku ramowej umowy o współpracy może być bowiem bardzo szeroki. Wskazujemy, w jaki sposób można określić rodzaj (zakres) danych osobowych w związku z powierzeniem przetwarzania danych.
Zgodnie z art. 28 ust. 1 RODO, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi ogólnego rozporządzenia o ochronie danych i chroniło prawa osób, których dane dotyczą. W związku z tym zawierana jest umowa powierzenia przetwarzania danych osobowych regulująca przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.
Zawarcie umowy powierzenia według art. 28 RODO to podstawowy obowiązek administratora w zakresie ochrony danych osobowych. Jeżeli umowy nie zawarto a mimo to doszło do przekazania danych to administrator danych osobowych może się narazić na zarzut przekazania danych osobie nieuprawnionej i odpowiedzialność za naruszenie ochrony danych.
Dane osobowe powierza się do przetwarzania innemu podmiotowi tylko w określonym celu (i często jedynie na pewien czas). Sama umowa powierzenia przetwarzania nie musi koniecznie być odrębnym dokumentem. Bardzo często umowa o powierzeniu przetwarzania danych osobowych stanowi element innej umowy „głównej”, np. umowy zlecenia czy o dzieło. W takim przypadku może stanowić element (np. załącznik) umowy o świadczenie pomocy prawnej. Przepisy RODO takiej praktyki nie wykluczają.
Umowa powierzenia danych musi określać m.in. „rodzaj danych osobowych” . Jest to właśnie zakres danych osobowych czyli wskazanie, jakie dane są powierzone procesorowi.
Rodzaj danych osobowych powinien być precyzyjnie wskazany poprzez:
Częstą praktyką jest też zawierania ramowych umów o współpracy. W takim przypadku sama umowa ramowa nie prowadzi jeszcze do zlecenia konkretnych usług, lecz ustalane są jedynie ogólne warunki współpracy (np. kanały kontaktowe, przejście praw autorskich, poufność). Do zlecenia pracy dochodzi dopiero przez osobne uzgodnienie warunków konkretnego zlecenia, w okresie obowiązywania umowy ramowej. Wtedy też dopiero dochodzi do powierzenia danych osobowych.
W takich przypadkach bardzo często umowa ramowa zawiera jako załącznik wzór umowy powierzenia przetwarzania danych osobowych. Sama umowa powierzenia jest zaś zawierana każdorazowo dopiero przy konkretnych zleceniach i dotyczy wyłącznie danych osobowych przekazywanych w związku z tym zleceniem.
Rozwiązanie pozwala dokładniej dopasować zakres (rodzaj) przekazywanych danych i ułatwia ich opisanie na potrzeby konkretnego zlecenia.
W przypadku umowy ramowej zawieranej z firmą windykacyjną rodzaj danych osobowych w ramach konkretnej usługi może obejmować np. „akta dłużników A, B i C zawierające informacje o stosunku najmu i płatnościach z tego tytułu”.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
