Umowa powierzenia przetwarzania danych osobowych – o czym należy pamiętać?
Prowadząc działalność, która zajmuje się w jakimś stopniu przetwarzaniem danych osobowych i korzystając z usług outsourcingu, w ramach którego konieczne będzie przekazanie tych danych w ręce firmy zewnętrznej oznacza dla przedsiębiorców konieczność podpisania umowy powierzenia przetwarzania danych osobowych.
Umowa taka wymagana jest przez RODO, a jej celem jest zadbanie o to by wszystkie powierzone firmie dane były przetwarzane w sposób właściwy i trafiały wyłącznie w ręce osób lub firm upoważnionych do ich wykorzystywania. Jak wygląda umowa powierzenia przetwarzania danych osobowych i o czym należy pamiętać zawierając ją z firmą zewnętrzną?
Powierzenie przetwarzania danych w świetle przepisów
Kluczowym wyznacznikiem dla umów powierzenia przetwarzania danych osobowych jest RODO, którego przepisy wskazują bezpośrednio na niezbędne elementy takiej umowy i kryteria, jakie muszą zostać spełnione by umowa mogła zostać zawarta. Art. 28 RODO określa podstawowy katalog obowiązkowych postanowień umowy powierzenia i jego stosowanie konieczne jest nie tylko podczas zawierania nowych umów powierzenia – administratorzy danych powinni dostosować do jego wymogów umowy już obowiązujące, zawarte na bazie ustawy o ochronie danych osobowych z 29.08.1997 r.
Najważniejsze elementy umowy powierzenia przetwarzania danych osobowych
Zgodnie z art. 28 ust. 3 RODO, każda umowa powierzenia przetwarzania danych osobowych zawierana pomiędzy administratorem danych, a zewnętrznym podmiotem który przejmie odpowiedzialność za ich przetwarzanie powinna zawierać następujące elementy:
- Przedmiot przetwarzania, czyli zakres działań na potrzeby których konieczne jest przetwarzanie danych osobowych.
- Czas trwania przetwarzania, a więc okres w jakim firma zewnętrzna realizująca określoną usługę będzie miała dostęp do danych udostępnianych przez administratora,
- Charakter przetwarzania, a więc sposób w jaki dane będą przetwarzane. W tym punkcie konieczne jest określenie czynników przetwarzania danych osobowych takich jak częstotliwość, powtarzalność, czasowość, długoterminowość i masowość.
- Cel przetwarzania.
- Rodzaj danych osobowych. W umowie powinny być wymienione konkretne dane, które będą podlegały powierzeniu (podział na dane zwykłe wymienione w art. 4 pkt 1 RODO oraz dane szczególnych kategorii ujęte w art. 9 ust. 1 RODO).
- Kategorię osób, których dane dotyczą– firmie zewnętrznej możemy powierzać nie tylko dane klientów, ale też dane pracowników,
- Obowiązki i prawa administratora powiązane z realizacją obowiązków nałożonych przez podmiot przetwarzający dane, w tym m.in.: sposób oraz termin przekazania do przetwarzania danych osobowych oraz udzielenie wszelkich niezbędnych dla procesora do realizacji umowy powierzenia.
- Obowiązki podmiotu przetwarzającego, których zakres jest ustalony w art. 28 ust. 3 RODO. Wśród nich wymienia się m.in.: przetwarzanie danych jedynie na udokumentowane polecenie administratora; zapewnienie, że dane będą przetwarzane jedynie przez osoby upoważnione do przetwarzania danych i zobowiązane do zachowania tajemnicy; zobowiązanie do pomocy administratorowi w wywiązywaniu się z obowiązków dot. przetwarzania danych; zwrot lub usuwanie danych osobowych po zakończeniu świadczenia usługi, z którą powiązane jest powierzenie przetwarzania danych osobowych.
Jak wybrać podmiot przetwarzający dane osobowe i kiedy stosować umowę powierzenia?
RODO, które określa obowiązek zawierania umowy powierzenia przetwarzania danych osobowych wskazuje też, by administratorzy danych korzystali wyłącznie z podmiotów przetwarzających mogących zagwarantować wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających, że przetwarzanie danych spełnia wymogi RODO i chroni prawa osób, których dane są przetwarzane. Administrator danych powinien przeprowadzić weryfikację podmiotu przetwarzającego np. poprzez przeprowadzenie audytu lub zażądanie wypełnienia listy kontrolnej pozwalającej na jego weryfikację.
Umowę powierzenia przetwarzania danych osobowych należy stosować, gdy podmiot zewnętrzny świadczy na rzecz administratora usługi, z którymi związane jest przetwarzanie danych osobowych. Konieczne będzie to więc w przypadku outsourcingu, w ramach którego odpowiedzialność za pewne aspekty działania firmy powierzana jest w ręce firmy zewnętrznej.
Umowę powierzenia przetwarzania danych osobowych podpisuje się, gdy firma decyduje się na outsourcing IOD, zewnętrzną obsługę księgową i kadrowo-płacową, outsourcing marketingowy, outsourcing IT czy korzystanie z usług zewnętrznego call center. W każdym z powyższych wypadków wrażliwe dane osobowe klientów i pracowników mogą trafiać w ręce firmy zewnętrznej – osoby, których te dane dotyczą muszą mieć pewność, że bez względu na podejmowane przez firmę działania ich dane pozostają bezpieczne.
Wybitne:
-
Praca konsultantki Oriflame
Luty 8, 2019 -
Wypożyczalnia samochodów jako sposób na biznes
Grudzień 10, 2015 -
Metody walki z uzależnieniem od alkoholu
Wrzesień 21, 2022 -
Praca w trudnych czasach kapitalizmu
Sierpień 9, 2019 -
-
Sprawdź, dlaczego warto wybrać obrączki z kolekcji Złoty Skorpion
Grudzień 16, 2022 -
Rodzaje testamentów w polskim prawie
Październik 12, 2018 -
-
Gdzie wykorzystywane są płytki PCB?
Lipiec 20, 2022 -
