Cz. 1 Nowe zasady współpracy z podmiotami przetwarzającymi dane – jakie informacje należy umieścić w umowach powierzenia?

zasady współpracy z podmiotami przetwarzającymi dane

Podobnie jak dotychczas, powierzenie przetwarzania danych osobowych podmiotom przetwarzającym w świetle przepisów RODO, będzie odbywało się na podstawie umowy. Jednak rozporządzenie unijne wprowadza nowe, bardzo istotne zmiany odnośnie reguł zawierania takich umów. Administratorzy danych, przed podpisaniem umowy, będą musieli dokonać bardzo wnikliwej weryfikacji podmiotów przetwarzających, aby sprawdzić, jak procesorzy będą zabezpieczać powierzone im dane osobowe.

Zgodnie z art. 28 RODO „Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje (w szczególności jeśli chodzi o wiedzę fachową, wiarygodność i zasoby) wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą”. Oznacza to, iż na administratorach danych spoczywa dodatkowa odpowiedzialność. Podczas kontroli będą oni musieli wykazać, iż podmiot przetwarzający, który wybrali, spełnia wymagania RODO. Dlatego też istotne jest, aby w procesie weryfikacji procesora, administratorzy, w celach dowodowych, prosili te podmioty o przekazanie wszelkich dokumentów czy procedur wskazujących na właściwy poziom stosowanych przez nie zabezpieczeń.

Umowa z podmiotem przetwarzającym może być zawarta w formie pisemnej lub elektronicznej, podmioty mogą skorzystać z własnego wzoru takiej umowy lub według standardowych klauzul umowny. Możemy spodziewać się, iż Komisja Europejska przygotuje wzór standardowych klauzul, jakie powinny być zawarte w umowie. Powinna ona zawierać następujące informacje: przedmiot i czas trwania umowy, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą oraz obowiązki i prawa administratora. Ponadto w umowie z administratorem należy zawrzeć zobowiązania przedmiotu przetwarzającego, zgodnie z którymi:

  • przetwarza on dane osobowe, wyłącznie na udokumentowane polecenie administratora,
  • wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku,
  • zapewnia, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy,
  • przestrzega warunków korzystania z usług innego podmiotu przetwarzającego,
  • pomaga administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą,
  • pomaga administratorowi wywiązać się z obowiązków związanych z zapewnieniem bezpieczeństwa danych, zgłoszeniem naruszenia, zawiadamianiem osoby, której dane dotyczą, oceną skutków dla ochrony danych oraz uczestnictwem w uprzednich konsultacjach,
  • umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzenie audytów, w tym inspekcji, i przyczynia się do nich,
  • udostępnia administratorowi wszelkie informacje niezbędne do wykazania obowiązków wskazanych w umowie,
  • po zakończeniu świadczenia usług, zależnie od decyzji administratora, usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie.

Do 28 maja 2018 r. administratorzy muszą zweryfikować wszystkie umowy z procesorami
i ewentualnie je aneksować, aby zwierały wszystkie powyższe elementy.

Joanna Peryt

Autor

Joanna Peryt

Z uwagi na posiadaną wiedzę specjalizuje się w zagadnieniach związanych z ochroną danych w prawie pracy. Przez kilkanaście lat zrealizowała wiele audytów bezpieczeństwa danych osobowych oraz projektów wdrożeniowych. Pełniła rolę Inspektora ochrony danych dla wielu klientów Audytela.