Umowa powierzenia przetwarzania danych

Jeżeli jesteś przedsiębiorcą, to na pewno w ostatnich miesiącach dotarły do Ciebie informacje o RODO. Wiem, ile można słuchać i czytać na ten temat? No cóż, według mnie warto chronić dane osobowe np. kontrahentów lub pracowników. Jako przedsiębiorca na pewno powierzasz dane osobowe różnym podmiotom, które je przetwarzają np. księgowym lub kurierom. Musisz mieć podpisaną z nimi umowę o współpracy oraz umowę powierzenia przetwarzania danych osobowych.

Z dzisiejszego wpisu dowiecie się:

1. czym jest umowa powierzenia przetwarzania danych osobowych,
2. jakie są prawa i obowiązki podmiotu przetwarzającego dane osobowe,
3. jaką ponosi odpowiedzialność Procesor,
4. kiedy Procesor może korzystać z usług innego podmiotu,
5. w jakim czasie należy zgłosić naruszenie ochrony danych osobowych.

Czym jest umowa powierzenia przetwarzania danych osobowych?

Umowę powierzenia przetwarzania danych osobowych zawieramy z podmiotem przetwarzający (procesorem). Zgodnie z RODO jest to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Tyle teoria, a w praktyce są to podmioty świadczące usługi m.in. kadrowo-płacowe, księgowe, informatyczne, marketingowe lub prawne oraz w inny sposób przetwarzające powierzone im dane osobowe.

Z takimi podmiotami należy podpisać umowę powierzenia przetwarzania danych osobowych. Na jej podstawie Administrator powierza przetwarzanie danych podmiotowi przetwarzającemu.

Administrator powinien korzystać wyłącznie z usług podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

Co powinna zawierać umowa powierzenia przetwarzania danych osobowych?

Umowa powinna zawierać:

1. określenie przedmiotu i czas trwania przetwarzania,
2. charakter i cel przetwarzania,
3. rodzaj danych osobowych,
4. kategorię osób, których dane dotyczą,
5. obowiązki i prawa administratora.

Podmiot przetwarzający powinien:

1. zobowiązać się do tego, że będzie przetwarzał dane osobowe jedynie na polecenie Administratora. Polecenie powinno być udokumentowane, a więc najlepiej pisemne.

Wyjątkiem od tej reguły jest obowiązek prawny przetwarzania danych ciążący na podmiocie przetwarzającym. Powinien wtedy poinformować o tym Administratora, chyba że prawo mu tego zabrania.

2. zapewnić, aby soby upoważnione przez niego do przetwarzania danych, zostały zobowiązane do przestrzegania tajemnicy. Administrator może żądać od przetwarzającego list osób biorących udział w przetwarzaniu.
3. zapewnić bezpieczeństwo danych, o którym mowa w art. 32 RODO. Administrator i podmiot przetwarzający powinni wiedzieć jakie warunki bezpieczeństwa należy zapewnić danym osobowym w ich firmach (w tym przypadku u przetwarzającego).
4. pomagać Administratorowi w udzielaniu odpowiedzi na żądania osób, których dane dotyczą realizujących swoje uprawnienia.
5. pomagać Administratorowi w realizacji jego obowiązków: przy analizie ryzyka przetwarzania, określaniu odpowiednich środków ochrony danych, podczas oceniania skutków dla ochrony danych, a także przy konsultacjach z organem nadzorczym. Zobowiązany jest również do współpracy przy zgłaszaniu naruszeń danych i przekazywaniu informacji osobom, które zostały dotknięte naruszeniem.
6. zwrócić i usunąć dane, po zakończeniu świadczenia usług (chyba że prawo mu tego zabrania).
7. udostępnić Administratorowi niezbędne informacje do wykazania zgodności powierzenia z umową.
8. umożliwić Administratorowi przeprowadzenie audytu.

Bardzo istotne jest również, aby Przetwarzający przestrzegał wymogów związanych z tzw. pod powierzeniem danych innemu podmiotowi.

Kiedy możliwe jest pod powierzenie danych innemu podmiotowi?

Przetwarzający nie może korzystać z usług innych podmiotów, jeżeli nie uzyska pisemnej zgody od Administratora.

Podmiot, z którego usług korzysta Przetwarzający jest zobowiązany do przestrzegania tych samych obowiązków co Procesor.

Odpowiedzialność podmiotu przetwarzającego dane osobowe.

Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem tylko wtedy, gdy:

1. nie dopełni obowiązków, które RODO nakłada bezpośrednio na niego,
2. lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom.

Procesor ponosi również pełną odpowiedzialność wobec Administratora za wypełnienie obowiązków przez podmiot przetwarzający, z którym współpracuje.

Obowiązek niezwłocznego zgłoszenia Administratorowi naruszenia ochrony danych.

Bardzo często w umowach o powierzeniu przetwarzania danych osobowych spotykam się z postanowieniem, że procesor przekaże informacje o naruszeniu ochrony danych w ciągu 7 dni.

Zapominamy jednak, że Administrator ma obowiązek zgłoszenia naruszenia ochrony danych osobowych bez zbędnej zwłoki, w miarę możliwości w ciągu… 72 godzin od stwierdzenia naruszenia. Naruszenie stwierdza Procesor, a więc 72 godziny zaczynają lecieć od momentu stwierdzenia przez niego naruszenia, a nie od moment kiedy został o tym poinformowany Administrator.

Zgłoszenie kieruje się do organu nadzoru. Można odstąpić od zgłoszenia, jeżeli jest mało prawdopodobne, aby naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Procesor powinien bez zbędnej zwłoki zgłosić Administratorowi naruszenie ochrony danych osobowych.

Co należy rozumieć przez bez zbędnej zwłoki? Powinien to zrobić w takim czasie, aby Administrator mógł spełnić swój obowiązek i w ciągu 72 godzin zgłosić naruszenie do organu nadzoru. Najlepiej natychmiast.

Jeżeli Administrator dokona zgłoszenia po upływie 72 godzin, powinien do zgłoszenia dołączyć uzasadnienie przyczyny opóźnienia.

Istnieje również możliwość upoważnienia Procesora do zgłoszenia naruszenia ochrony danych. W umowie Administrator i Procesor powinni zawrzeć odpowiednie postanowienia dotyczące tego rozwiązania.

Podsumowanie:

1. umowa powierzenia przetwarzania danych osobowych podpisywana jest między Administratorem z podmiotem przetwarzającym (Procesorem),
2. w umowie powinny zostać określone prawa i obowiązki stron,
3. Procesor nie może przetwarzać danych osobowych bez pisemnego polecenia Administratora,
4. Procesor nie może korzystać z usług innego podmiotu bez zgody Administratora,
5. za wypełnienie obowiązków przez podmiot, z usług którego korzysta Procesor, odpowiedzialność wobec Administrator ponosi Procesor,
6. Administrator powinien zgłosić naruszenia ochrony danych osobowych w ciągu 72 godzin od stwierdzenia naruszenia,
7. Procesor powinien zgłosić Administratorowi naruszenie ochrony danych bez zbędnej zwłoki, tak aby Administratora mógł dokonać zgłoszenia w ciągu 72 godzin.