Zakres danych w umowie powierzenia przetwarzania danych osobowych wg RODO - co musi zawierać
Przekazanie danych przez administratora kontrahentowi, który nie ma własnego celu i podstawy przetwarzania, wymaga zawarcia umowy powierzenia przetwarzania danych. Rodzi się pytanie, w jaki sposób zdefiniować w umowie powierzenia danych osobowych zakres czyli rodzaj przekazywanych danych. Zakres ten w przypadku ramowej umowy o współpracy może być bowiem bardzo szeroki. Wskazujemy, w jaki sposób można określić rodzaj (zakres) danych osobowych w związku z powierzeniem przetwarzania danych.
Co musi zawierać umowa powierzenia przetwarzania danych osobowych zgodnie z RODO
Zgodnie z art. 28 ust. 1 RODO, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi ogólnego rozporządzenia o ochronie danych i chroniło prawa osób, których dane dotyczą. W związku z tym zawierana jest umowa powierzenia przetwarzania danych osobowych regulująca przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.
Zawarcie umowy powierzenia według art. 28 RODO to podstawowy obowiązek administratora w zakresie ochrony danych osobowych. Jeżeli umowy nie zawarto a mimo to doszło do przekazania danych to administrator danych osobowych może się narazić na zarzut przekazania danych osobie nieuprawnionej i odpowiedzialność za naruszenie ochrony danych.
Klauzula powierzenia przetwarzania w umowie o współpracy pomiędzy administratorem a procesorem
Dane osobowe powierza się do przetwarzania innemu podmiotowi tylko w określonym celu (i często jedynie na pewien czas). Sama umowa powierzenia przetwarzania nie musi koniecznie być odrębnym dokumentem. Bardzo często umowa o powierzeniu przetwarzania danych osobowych stanowi element innej umowy „głównej”, np. umowy zlecenia czy o dzieło. W takim przypadku może stanowić element (np. załącznik) umowy o świadczenie pomocy prawnej. Przepisy RODO takiej praktyki nie wykluczają.
Jak ująć zakres danych osobowych powierzanych podmiotowi przetwarzającemu
Umowa powierzenia danych musi określać m.in. „rodzaj danych osobowych” . Jest to właśnie zakres danych osobowych czyli wskazanie, jakie dane są powierzone procesorowi.
Rodzaj danych osobowych powinien być precyzyjnie wskazany poprzez:
- wyliczenie kategorii danych (np. imię, nazwisko, numer telefonu)
- opisowo, ale precyzyjnie (np. „w zakresie niezbędnym do realizacji umowy z dnia 15 listopada 2023 r. o świadczeniu …”).
Zakres powierzenia danych osobowych definiowany przy każdym konkretnym zleceniu
Częstą praktyką jest też zawierania ramowych umów o współpracy. W takim przypadku sama umowa ramowa nie prowadzi jeszcze do zlecenia konkretnych usług, lecz ustalane są jedynie ogólne warunki współpracy (np. kanały kontaktowe, przejście praw autorskich, poufność). Do zlecenia pracy dochodzi dopiero przez osobne uzgodnienie warunków konkretnego zlecenia, w okresie obowiązywania umowy ramowej. Wtedy też dopiero dochodzi do powierzenia danych osobowych.
W takich przypadkach bardzo często umowa ramowa zawiera jako załącznik wzór umowy powierzenia przetwarzania danych osobowych. Sama umowa powierzenia jest zaś zawierana każdorazowo dopiero przy konkretnych zleceniach i dotyczy wyłącznie danych osobowych przekazywanych w związku z tym zleceniem.
Rozwiązanie pozwala dokładniej dopasować zakres (rodzaj) przekazywanych danych i ułatwia ich opisanie na potrzeby konkretnego zlecenia.
W przypadku umowy ramowej zawieranej z firmą windykacyjną rodzaj danych osobowych w ramach konkretnej usługi może obejmować np. „akta dłużników A, B i C zawierające informacje o stosunku najmu i płatnościach z tego tytułu”.
- Referencje w procesie zamówień publicznych - jaka jest podstawa przetwarzania danych osobowych wg RODO
- 1,5% podatku na OPP – co z danymi osobowymi darczyńców w zeznaniach podatkowych
- Czy inspektor ochrony danych może obsługiwać zgłoszenia naruszenia prawa od sygnalistów
- Jak przygotować procedury cyberbezpieczeństwa w placówce medycznej
- Ochrona sygnalistów - dane osobowe w zgłoszeniu naruszenia prawa
- Zastępca IOD na czas nieobecności inspektora ochrony danych osobowych - czy jego wyznaczenie jest konieczne
Bezpieczne przechowywanie danych w chmurze
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
