Administrator danych osobowych, który chce powierzyć dane osobowe firmie zewnętrznej, musi zawrzeć z nią umowę powierzenia przetwarzania danych osobowych. O umowie tej powiedziano i napisano już bardzo wiele, niemniej jednak nadal temat ten jest problematyczny w praktyce, czego dowodzą kary wymierzane przez Prezesa UODO. Podpowiadamy, jak zawrzeć umowę powierzenia przetwarzania danych i prezentujemy przykładowe rozwiązania.
Pod pojęciem powierzenia przetwarzania danych kryje się w pewnym sensie outsourcing ich przetwarzania. Firma, której klienci przekazali dane, może zlecić wykonywanie obowiązków związanych z ich przetwarzaniem innemu podmiotowi. Podmiot ten staje się wówczas podmiotem przetwarzającym. Przetwarza on dane osobowe wyłącznie w imieniu administratora i w celach przez niego określonych np. w ramach świadczenia usług na rzecz administratora. Właśnie wtedy należy zawrzeć umowę powierzenia przetwarzania danych.
Powierzenie nie jest natomiast konieczne w przypadku, gdy dane osobowe są przekazywane:
Kiedy zawrzeć umowę powierzenia a kiedy udostępnić dane lub upoważnić do ich przetwarzania? Przeczytaj poniższe artykuły:
Kolejny krok jest niestety często pomijamy, a to niestety błąd, który może skutkować ukaraniem przez Prezesa UODO. Przekonał się o tym jeden z ośrodków kultury, który nie zweryfikował procesora przed zawarciem umowy powierzenia przetwarzania danych. Warto przy tym mieć świadomość, że administrator ponosi odpowiedzialność za uchybienia, których dopuścił się procesor.
Administrator może powierzyć dane osobowe tylko takiemu podmiotowi, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, tak aby przetwarzanie:
Jak to zrobić? Najlepiej przygotować listę pytań do procesora. Ewentualnie można uzgodnić z nim przeprowadzenie audytu przed zawarciem umowy.
Jak sprawdzić potencjalnego procesora? Skorzystaj z listy kontrolnej>>
W kolejnym kroku rozpoczynamy przygotowanie projektu umowy powierzenia przetwarzania danych. Umowa taka musi regulować:
Podstawowe obowiązki i oświadczenia stron powinny odpowiadać treści art. 28 ust. 3 RODO. Zgodnie z tym przepisem umowa powierzenia przetwarzania danych musi przewidywać:
W tym i w kolejnych krokach odniesiemy się do wybranych postanowień w umowach powierzenia.
Redagowanie umowy należy zacząć od jej nazwy oraz oznaczenia stron. Poprawnym tytułem może być naturalnie „Umowa powierzenia przetwarzania danych osobowych”. Wskazując strony umowy, można je nazwać np. administratorem (firma medyczna – administrator danych powierzający ich przetwarzanie podmiotowi trzeciemu) i podmiotem przetwarzającym lub procesorem (podmiot trzeci – spółka informatyczna).
W umowie można także zawrzeć preambułę wyjaśniającą cel jej zawarcia.
Przykład
Preambuła
„Strony Umowy zamierzają zawrzeć umowę, na mocy której Administrator będzie świadczyć usługi serwisu informatycznego na rzecz Procesora. W związku z powyższym Administrator zamierza powierzyć przetwarzanie danych osobowych swoich klientów oraz kontrahentów (zwanych dalej „danymi osobowymi”) Procesorowi w zakresie określonym w Umowie.
Niniejszym strony postanowiły, co następuje: (...)”
Na początku pierwszego paragrafu trzeba umieścić to, co najważniejsze, czyli przedmiot przetwarzania:
Przykład
„Przedmiotem Umowy jest określenie zasad i warunków współpracy pomiędzy Stronami w zakresie przetwarzana przez Procesora danych osobowych. Administrator powierza Procesorowi przetwarzanie danych osobowych w celu umożliwienia świadczenia usługi serwisu informatycznego na rzecz Administratora”.
Ważne jest też określenie miejsca przetwarzania danych przez procesora.
Przykład
„Dane osobowe będą przetwarzane przez Procesora we wskazanej w niniejszej Umowie siedzibie oraz innych lokalizacjach Procesora, w tym w systemie informatycznym. Zmiana miejsca przetwarzania danych osobowych wymaga uprzedniej, pisemnej zgody Administratora.”
W umowie należy zawrzeć postanowienia dotyczące konkretnych osób, które w ramach struktur Procesora będą miały dostęp do danych:
Przykład
„Procesor wyznacza osoby upoważnione do dostępu i przetwarzania danych osobowych wymienione w załączniku nr […] do Umowy. Procesor zobowiązuje się do przekazania Administratorowi w ciągu 5 dni roboczych od doręczenia pisemnego żądania Administratora aktualnej ewidencji osób upoważnionych do dostępu do danych osobowych według wzoru stanowiącego załącznik nr […]”.
„Procesor zobowiązuje się dopuszczać do przetwarzania powierzonych danych wyłącznie osoby posiadające upoważnienie wydane przez Procesora, zobowiązane do zachowania w tajemnicy przetwarzanych danych osobowych”.
„Procesor zobowiązuje się przed dopuszczeniem do przetwarzania danych osobowych do przeszkolenia w zakresie ochrony danych osobowych każdej osoby związanej pośrednio bądź bezpośrednio z wykonywaniem Umowy, jeżeli osoba taka nie została do tej pory przeszkolona z zakresu przetwarzania danych osobowych”.
Jeżeli dana firma posiada politykę bezpieczeństwa, instrukcję zarządzania systemami informatycznymi lub inną dokumentację ODO, wówczas administrator powinien znać ich zapisy.
Można to uregulować w następujący sposób:
Przykład
„Jako załączniki nr […] i nr […] strony dołączają obowiązujące u Procesora dokumenty w postaci – odpowiednio – polityki bezpieczeństwa danych osobowych oraz instrukcji zarządzania systemem informatycznym. W razie braku zastrzeżeń Administratora do przekazanej dokumentacji Procesor uprawniony będzie do rozpoczęcia przetwarzania danych osobowych, w przypadku zaś zastrzeżeń Administratora wskaże obszary wymagające zmiany bądź uzupełnienia dokumentacji przez Procesora w terminie uzgodnionym przez strony, jednakże nie dłuższym niż 21 dni, pod rygorem natychmiastowego rozwiązania umowy.
Procesora zobowiązuje się do przestrzegania postanowień tych dokumentów w całym okresie obowiązywania Umowy. Wszelkie zmiany powyższych dokumentów wymagają pisemnej akceptacji Administratora”.
Umowa powinna przewidywać, że:
Przykład
„Gdy osoba trzecia będzie dochodzić od Administratora odszkodowania za niezgodne z prawem przetwarzanie danych osobowych lub naruszenie dóbr osobistych lub inne czyny związane z posiadaniem i wykorzystaniem danych osobowych, Procesor będzie współdziałać z Administratorem w celu rozstrzygnięcia sporu na korzyść Administratora, w tym udostępni wszelkie wymagane przez Administratora informacje i dokumenty związane ze sprawą”.
Warto też zastrzec obowiązek zapłaty kary umownej:
Przykład
„W przypadku gdy Administrator stwierdzi naruszenie przepisów RODO lub postanowień umowy, będzie uprawniony do żądania od Procesora zapłaty kary umownej w wysokości […] złotych za każdy przypadek naruszenia, co nie wyłącza prawa Administratora do dochodzenia odszkodowania na zasadach ogólnych”.
Umowa musi również zawierać ograniczenia w zakresie podpowierzenia danych.
Przykład
„Procesor nie może powierzyć osobie trzeciej przetwarzania danych osobowych bez każdorazowej uprzedniej, pisemnej zgody Administratora.”.
Umowa powierzenia powinna być zawarta na czas określony. Należy więc zawrzeć w niej okres przetwarzania powierzonych danych. To jednak nie wszystko. Warto także zastrzec sobie możliwie krótki okres jej rozwiązania. Pozwoli to uniknąć sytuacji, w której dane osobowe naszych klientów obsługuje podmiot, do którego straciliśmy zaufanie.
Przykładowe zapisy:
Przykład
„1. Umowa zostaje zawarta od dnia […] do dnia […].
Każda ze stron może rozwiązać Umowę w każdej chwili za uprzednim 7-dniowym wypowiedzeniem na piśmie.
Administrator zastrzega sobie prawo rozwiązania Umowy ze skutkiem natychmiastowym w przypadku rażącego naruszenia swoich obowiązków przez Procesora.
Najpóźniej w 7 dni po wygaśnięciu lub rozwiązaniu Umowy Procesor usunie dane osobowe powierzone przez Procesora ze swoich systemów informatycznych, kartotek, ksiąg i innych zbiorów (w tym także kopie tych danych) i przekaże te dane Administratora, chyba że bezwzględnie obowiązujące przepisy prawa zobowiązują Procesora do przechowywania tych danych.
Przez usunięcie danych osobowych, o którym mowa w ust. 4, należy rozumieć zniszczenie tych danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.”
Jak wynika z art. 28 ust. 3 RODO, administrator musi zapewnić sobie możliwość audytowania procesora.
Przykład
„Administratorowi przysługuje w każdym czasie prawo do kontroli przetwarzania powierzonych danych osobowych, a w szczególności realizacji obowiązku zabezpieczenia tych danych. W ramach prawa kontroli Administrator może żądać od Procesora:
Procesor zobowiązany jest stosować się do wskazań Administratora mających na celu usunięcie stwierdzonych uchybień lub poprawę bezpieczeństwa przetwarzania powierzonych danych osobowych.”
Całość powinny uzupełniać typowe postanowienia występujące także w innych umowach, dotyczące zachowania poufności, wyznaczenia osób do kontaktu czy możliwości renegocjowania umowy.
Powyższe przykłady są tylko propozycjami wybranych postanowień umowy powierzenia. Proponujemy również skorzystanie z zamieszczonych w portalu wzorów umów powierzenia:
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
