Cz. 1 Nowe zasady współpracy z podmiotami przetwarzającymi dane – jakie informacje należy umieścić w umowach powierzenia?
03.01.2018
Autor: Joanna Peryt
Podobnie jak dotychczas, powierzenie przetwarzania danych osobowych podmiotom przetwarzającym w świetle przepisów RODO, będzie odbywało się na podstawie umowy. Jednak rozporządzenie unijne wprowadza nowe, bardzo istotne zmiany odnośnie reguł zawierania takich umów. Administratorzy danych, przed podpisaniem umowy, będą musieli dokonać bardzo wnikliwej weryfikacji podmiotów przetwarzających, aby sprawdzić, jak procesorzy będą zabezpieczać powierzone im dane osobowe.
Zgodnie z art. 28 RODO „Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje (w szczególności jeśli chodzi o wiedzę fachową, wiarygodność i zasoby) wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą”. Oznacza to, iż na administratorach danych spoczywa dodatkowa odpowiedzialność. Podczas kontroli będą oni musieli wykazać, iż podmiot przetwarzający, który wybrali, spełnia wymagania RODO. Dlatego też istotne jest, aby w procesie weryfikacji procesora, administratorzy, w celach dowodowych, prosili te podmioty o przekazanie wszelkich dokumentów czy procedur wskazujących na właściwy poziom stosowanych przez nie zabezpieczeń.
Umowa z podmiotem przetwarzającym może być zawarta w formie pisemnej lub elektronicznej, podmioty mogą skorzystać z własnego wzoru takiej umowy lub według standardowych klauzul umowny. Możemy spodziewać się, iż Komisja Europejska przygotuje wzór standardowych klauzul, jakie powinny być zawarte w umowie. Powinna ona zawierać następujące informacje: przedmiot i czas trwania umowy, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą oraz obowiązki i prawa administratora. Ponadto w umowie z administratorem należy zawrzeć zobowiązania przedmiotu przetwarzającego, zgodnie z którymi:
Do 28 maja 2018 r. administratorzy muszą zweryfikować wszystkie umowy z procesorami
i ewentualnie je aneksować, aby zwierały wszystkie powyższe elementy.
Autor
Joanna Peryt
Z uwagi na posiadaną wiedzę specjalizuje się w zagadnieniach związanych z ochroną danych w prawie pracy. Przez kilkanaście lat zrealizowała wiele audytów bezpieczeństwa danych osobowych oraz projektów wdrożeniowych. Pełniła rolę Inspektora ochrony danych dla wielu klientów Audytela.
Kategorie
Dołącz do listy mailingowej i otrzymuj od nas zawsze aktualne informcje!