Spis treści
Umowa powierzenia przetwarzania danych
Ochrona danych osobowychKiedy zawrzeć umowę powierzenia przetwarzania danych osobowych?
W sytuacji korzystania z usług podmiotów trzecich, w trakcie których dochodzi do przetwarzania danych osobowych administrator, który chce skorzystać z usług takiego podwykonawcy powinien wraz podpisaniem umowy głównej, podpisać umowę powierzenia przetwarzania danych osobowych. Oczywiście postanowienia odnoszące się do ochrony danych mogą zostać ujęte w samej umowie głównej. Co więcej, należy pamiętać, że regulamin to także umowa. Odnoszę wrażenie, że wiele osób korzystających, w szczególności z bezpłatnych rozwiązań akceptuje regulaminy podmiotów, z których usług/aplikacji/narzędzi chce skorzystać. Czy jednak czyta regulaminy albo warunki świadczenia usług? Myślę, że znajdą się tacy, którzy niestety nie czytają. Dlaczego jest to takie ważne? Jeżeli Ty jako administrator danych osobowych korzystasz z usług podmiotów trzecich, to musisz spełnić obowiązki informacyjne wobec osoby, których dane osobowe przetwarzasz. Inaczej rzecz ujmując, poinformować osobę, że oprócz Ciebie, ktoś jeszcze będzie miał styczność z jej danymi osobowymi (zob. art. 13 RODO). Oprócz tego, jako administrator danych osobowych przed skorzystaniem z określonych usług, powinieneś dokonać odpowiedniego wyboru swojego podwykonawcy. Kontrahent powinien spełniać wymagania ustalone przepisami RODO. Ciężar odpowiedzialności za dokonanie odpowiedniego wyboru podmiotu przetwarzającego spoczywa na administratorze (art. 28 ust. 1 RODO).Wybór dostawcy usług
Zdarza się także, zwłaszcza gdy korzystamy z usług „giganta”, że usługodawca uzależnia możliwość skorzystania z bezpłatnego rozwiązania pod warunkiem umieszczenia odpowiednich postanowień w swojej klauzuli informacyjnej. Co więcej, uznaje się, że nawet brak równości stron w relacji pomiędzy małym administratorem a dużym usługodawcą, który będzie pełnił rolę podmiotu przetwarzającego, nie będzie uznawane za wystarczający powód (usprawiedliwienie) za wybór kontrahenta, który nie spełnia wymagań RODO. Co ważne administrator decydując się na skorzystanie z podmiotu zewnętrznego nadal decyduje o celu i sposobie przetwarzania danych osobowych, zaś wybrany przez niego podmiot przetwarzający jest uprawniony wyłącznie do dokonania powierzonych czynności, z którymi wiąże się także przetwarzanie danych osobowych w sposób i celu określonym przez administratora.(fragment motywu nr 81 RODO) Administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności, jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom RODO, w tym wymogom bezpieczeństwa przetwarzania.
Podstawy powierzenia danych osobowych
RODO dopuszcza dwie alternatywne podstawy powierzenia przetwarzania danych osobowych. Jedną z nich jest umowa. Stronami umowy są administrator i podmiot przetwarzający (podmiot działający na zlecenie administratora). W praktyce umowa ta nazywana jest umową powierzenia danych osobowych czy też umową o powierzeniu przetwarzania danych osobowych. Są to najczęściej stosowane nazwy tej umowy, choć można się spotkać z terminami jak: umowa o powierzeniu danych, umowa z procesorem, umowa powierzenia, regulamin ochrony danych itp. Bez znaczenia jest nazwa umowy, najważniejsze, by umowa posiadała elementy wynikające z RODO.Elementy umowy powierzenia przetwarzania danych
Do elementów, które zalicza się:- przedmiot przetwarzania;
- czas trwania przetwarzania;
- charakter i cel przetwarzania,
- rodzaj danych osobowych,
- kategorie osób, których dane dotyczą
- obowiązki i prawa administratora
- zobowiązania podmiotu przetwarzającego.
- działanie wyłącznie na udokumentowanie polecenie administratora;
- zagwarantowanie, że osoby upoważnione do przetwarzania zobowiążą się do zachowania tajemnicy, chyba że podlegają one takiemu obowiązkowi z mocy przepisów ustawowych;
- wdrożenie odpowiednich środków technicznych i organizacyjnych;
- przestrzeganie warunków korzystania z usług innego podmiotu przetwarzającego;
- wsparcie administratora w realizacji praw podmiotów danych (osób, których dane osobowe są przetwarzane)
- wsparcie administratora w realizacji obowiązków odnoszących się do bezpieczeństwa przetwarzania, zgłaszania naruszeń ochrony danych organowi nadzorczemu, zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, oceny skutków dla ochrony danych oraz uprzednich konsultacji;
- umożliwienie poddania się kontroli (audytów) prowadzonej przez administratora w celu wykazania spełnienia nałożonych na podmiot przetwarzający w umowie obowiązków oraz współdziałania w czasie jej trwania;
- określone postępowanie z danymi osobowymi po zakończeniu przetwarzania.
- działanie wyłącznie na udokumentowanie polecenie administratora;
- zagwarantowanie, że osoby upoważnione do przetwarzania zobowiążą się do zachowania tajemnicy, chyba że podlegają one takiemu obowiązkowi z mocy przepisów ustawowych;
- wdrożenie odpowiednich środków technicznych i organizacyjnych;
- przestrzeganie warunków korzystania z usług innego podmiotu przetwarzającego;
- wsparcie administratora w realizacji praw podmiotów danych (osób, których dane osobowe są przetwarzane)
- wsparcie administratora w realizacji obowiązków odnoszących się do bezpieczeństwa przetwarzania, zgłaszania naruszeń ochrony danych organowi nadzorczemu, zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, oceny skutków dla ochrony danych oraz uprzednich konsultacji;
- umożliwienie poddania się kontroli (audytów) prowadzonej przez administratora w celu wykazania spełnienia nałożonych na podmiot przetwarzający w umowie obowiązków oraz współdziałania w czasie jej trwania;
- określone postępowanie z danymi osobowymi po zakończeniu przetwarzania.
- Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE z 2016 r., L 119/1 ze zm.).
- Grupa Robocza Art. 29, Opinia 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający”, przyjęta 16 lutego 2010 r. (WP 169), https://archiwum.giodo.gov.pl/pl/1520057/3595, 16.05.2020 r.
- N. Stojanowska, Outsourcing usług w kancelarii komorniczej a RODO, https://old.currenda.pl/2019/04/outsourcing-uslug-w-kancelarii-komorniczej-w-rodo/, 16.05.2020 r.
Zapisz się na newsletter
Pobierz darmową NOTATKĘ WIZUALNĄ pt. “Obowiązek Informacyjny z art. 13 RODO w 13 krokach”.
Dziękuję za zapis!
Sprawdź teraz skrzynkę e-mail i potwierdź swój zapis na newslettera. Sprawdź folder Spam i Oferty, bo tam lubią ukrywać się moje maile.
Podmiot przetwarzający - Stojanowska Natalia
11/08/2020 @ 8:37 pm
[…] Na temat umowy powierzenia przetwarzania danych osobowych zob. tutaj. […]
Pseudonimizacja - Stojanowska Natalia
16/09/2020 @ 5:30 am
[…] Na temat umowy powierzenia przetwarzania danych zob. tutaj. […]
Mediator jako administrator danych - Stojanowska Natalia
18/10/2020 @ 12:41 am
[…] Na temat umowy powierzenia zob. umowa powierzenia […]