Skoro odrębny podmiot, który ma zamiar świadczyć usługi inspektora ochrony danych, będzie miał dostęp do danych osobowych, to musi mieć ku temu podstawę prawną, którą będzie stanowiła umowa powierzenia przetwarzania danych osobowych.
Wybór pomiędzy powierzeniem przetwarzania danych osobowych a upoważnieniem do ich przetwarzania sprowadza się do tego, czy administrator danych chce umożliwić ich przetwarzanie:
Powierzenie przetwarzania danych osobowych to sposób na uprawnienie innego podmiotu do przetwarzania danych osobowych znajdujących się w posiadaniu danego administratora. Powierzenie przetwarzania danych osobowych pozwala w stosunkowo prosty sposób uprawnić do przetwarzania danych osobowych podmioty, które normalnie nie mogłyby tego robić.
Należy więc mieć świadomość, że zawarcie takiej umowy jest niezbędne zawsze, gdy ma dojść do przekazania innemu podmiotowi danych osobowych innych osób. Z taką właśnie sytuacją mamy do czynienia w przypadku przetwarzania danych osobowych przez zewnętrznego inspektora ochrony danych (IOD). Nie ma tu żadnego wyjątku przewidzianego w RODO – skoro odrębny podmiot, który ma zamiar świadczyć usługi IOD, będzie miał dostęp do danych osobowych, to musi mieć ku temu podstawę prawną, którą będzie stanowiła umowa powierzenia przetwarzania danych osobowych.
Umowa powierzenia przetwarzania danych osobowych powinna być zawarta w formie pisemnej. W treści umowy zawsze trzeba wskazać zakres oraz cel powierzenia przetwarzania. Jeżeli nie zawarto umowy powierzenia przetwarzania z IOD, a mimo to doszło do przekazania danych osobowych, to administrator danych może się narazić na zarzut przekazania danych osobie nieuprawnionej.
|
Zapisy w umowie o świadczenie usług z inspektorem ochrony danych dotyczące powierzenia przetwarzania danych osobowych 1. W celu właściwego wykonania przedmiotu Umowy Zleceniobiorcy przysługuje prawo na podstawie podpisanej umowy powierzenia przetwarzania danych osobowych, która stanowi Załącznik nr 1 do Umowy, do przechowywania wszelkich dokumentów, danych osobowych oraz innych informacji bezpośrednio lub pośrednio dotyczących Zleceniodawcy w zabezpieczonej bazie danych Zleceniobiorcy bez prawa do przetwarzania lub udostępniania tych danych osobom trzecim lub osobom niepowiązanym Umową. 2. Zleceniobiorca w momencie rozwiązania Umowy zobowiązuje się do zwrotu wszelkich danych osobowych, informacji i dokumentów zebranych w trakcie wykonywania obowiązków zewnętrznego inspektora ochrony danych osobowych lub ich trwałego zniszczenia w sposób uniemożliwiający zidentyfikowanie osób, których dane dotyczą, oraz treści zebranych dokumentów. Potwierdzeniem zniszczenia jest protokół zniszczenia przekazany Zleceniodawcy. Załącznik nr 1 do umowy świadczenia usług IOD Umowa powierzenia przetwarzania danych osobowych zawarta w ……… r. pomiędzy: …………………………, zwanym w dalszej części Umowy „Zleceniobiorcą” a …………………………, zwanym w dalszej części Umowy „Zleceniodawcą”. Zleceniodawca i Zleceniobiorcą zwani są dalej łącznie „Stronami” lub każde indywidualnie „Stroną”. W związku z zawarciem przez Strony w ……… r. umowy o świadczenie usług inspektora ochrony danych – IOD (dalej: „Umowa”), Strony zawierają niniejszą umowę powierzenia przetwarzania danych (dalej: „Umowa w Sprawie Danych”): 1. Zamawiający, jako administrator danych, powierza Zleceniobiorcy przetwarzanie bazy danych zawierające dane osobowe. Zakres powierzonych do przetwarzania danych obejmuje: przeglądanie zbiorów danych. 2. Powierzenie przetwarzania danych osobowych, o którym mowa w ust. 1, następuje wyłącznie w zakresie niezbędnym w celu prawidłowej realizacji Umowy przez Zleceniobiorcę. Zleceniobiorca nie jest uprawniony do jakiegokolwiek dalszego wykorzystania i udostępniania powierzonych danych osobowych ani do przechowywania i sporządzania kopii bezpieczeństwa powierzonych danych w zakresie, który nie jest konieczny do prawidłowej realizacji Umowy. 3. W związku z powierzeniem Zleceniobiorcy przetwarzania danych osobowych, o których mowa w ust. 1, Zleceniobiorca zobowiązuje się do zachowania najwyższej staranności. 4. Strony oświadczają, że miejscem przetwarzania danych osobowych jest siedziba Zleceniodawcy. 5. Zleceniobiorca nie może powierzyć czynności przetwarzania danych osobowych, o których mowa w ust.1, osobom trzecim. W przypadku powierzenia realizacji części Umowy podmiotowi trzeciemu na zasadach określonych w Umowie, Zleceniobiorca odpowiedzialny jest za zawarcie przez ten podmiot ze Zleceniodawcą umowy o powierzenie przetwarzania danych osobowych. 6. Do przetwarzania danych osobowych, o których mowa w ust. 1, mogą być dopuszczeni jedynie pracownicy Zleceniobiorcy posiadający imienne upoważnienie do przetwarzania danych osobowych (dalej: „upoważnieni pracownicy”). Upoważnienie wygasa z chwilą ustania zatrudnienia upoważnionego pracownika bądź odwołania upoważnienia. Upoważnienie nie może przekraczać zakresu czynności określonego w ust. 2. 7. Zleceniobiorca prowadzi ewidencję upoważnionych pracowników wyznaczonych do przetwarzania danych osobowych powierzonych Zleceniobiorcy przez Zleceniodawcę w związku z wykonywaniem Umowy. 8. Zleceniobiorca oświadcza, że upoważnieni pracownicy zostali zapoznani i przeszkoleni z zasad ochrony danych osobowych. Upoważnieni pracownicy nie mogą wykonywać operacji na danych przekraczających zakres wydanych im upoważnień ani posiadać prawa dostępu do danych w zakresie szerszym, niż wynikałoby to z upoważnienia lub też przetwarzać danych w celu innym, niż ten, do którego zostali upoważnieni. Za działania upoważnionych pracowników, Zleceniobiorca ponosi odpowiedzialność jak za działania własne. 9. W celu właściwego zapewnienia bezpieczeństwa wszystkich danych, o których mowa w ust. 1, powierzonych przez administratora danych, Zleceniobiorca zobowiązuje się do zachowania najwyższej staranności. 10. Zleceniobiorca zobowiązuje się do udzielania Zleceniodawcy na każde żądanie informacji na temat przetwarzania powierzonych danych osobowych, a w szczególności do niezwłocznego przekazywania informacji o każdym przypadku naruszenia przez niego i jego pracowników obowiązków dotyczących ochrony danych osobowych. 11. Zleceniobiorca zobowiązuje się do niezwłocznego informowania Zleceniodawcy o wszelkich przypadkach naruszenia bezpieczeństwa oraz tajemnicy danych osobowych lub ich niewłaściwym użyciu, a także o wszelkich czynnościach związanych z danymi osobowymi objętymi Umową w Sprawie Danych prowadzonych przed organem nadzorczym, urzędami państwowymi, policją lub sądami. 12. W przypadku wystąpienia okoliczności, o których mowa w ust. 11 i 12 Zleceniobiorca jest zobowiązany do podjęcia wszelkich niezbędnych środków w celu ochrony danych osobowych, o których mowa w ust. 1. 13. Po zakończeniu realizacji Umowy, lub na pisemną prośbę Zleceniodawcy, Zleceniobiorca zwróci Zleceniodawcy wszystkie nośniki z otrzymanymi danymi osobowymi, a w przypadku sporządzenia dodatkowych kopii, trwale usunie je z wszelkich nośników, które nie zostały zwrócone Zleceniodawcy. 14. Zleceniobiorca zobowiąże wszystkich swoich pracowników, którzy na podstawie niniejszej Umowy w Sprawie Danych biorą udział w przetwarzaniu powierzonych mu danych osobowych, do zachowania w poufności wszelkich uzyskanych danych osobowych i informacji. Zobowiązanie, o którym mowa w zdaniu poprzedzającym, obowiązuje bezterminowo, także po ustaniu zatrudnienia osób, o których mowa w zdaniu poprzedzającym, u Zleceniobiorcy. ………………… …………………… Zleceniodawca Zleceniobiorca |
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
