Tak jak i w ustawie o ochronie danych osobowych, tak też w ogólnym rozporządzeniu o ochronie danych (RODO) funkcjonuje instytucja powierzenia przetwarzania danych osobowych. Ogólne rozporządzenie o ochronie danych wprowadza kilka zmian dotyczących zarówno treści samej umowy powierzenia przetwarzania danych osobowych, jak i obowiązków administratora i procesora.
Przygotowując się do wdrożenia RODO niezbędne jest dokonanie przeglądu obowiązujących umów powierzenia przetwarzania, sprawdzenie, które z umów powierzenia będą obowiązywały także po 24 maja 2018 roku, a następnie dostosowanie ich treści do wymogów rozporządzenia o ochronie danych.
Powierzenie danych
Innowacją na gruncie RODO jest obowiązek leżący po stronie administratora danych, polegający na sprawdzeniu podmiotu, któremu mają zostać powierzone dane. Zgodnie z art. 28 ust. 1 RODO administrator powinien korzystać wyłącznie z usług podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Zmiana ta nadaje administratorowi danych swoiste uprawnienie do kontroli podmiotu przetwarzającego w zakresie zgodności jego działalności z przepisami RODO i obowiązującymi wymogami w zakresie ochrony praw osób, których dane są przetwarzane.
Kiedy stosować umowę powierzenia?
W realiach polskiej gospodarki rynkowej wiele firm korzysta z usług innych przedsiębiorstw, wykonujących na ich zlecenie strategiczne usługi związane z chociażby księgowością czy BHP. W toku wykonywanych usług zleceniodawcy często bez ograniczeń przekazują firmom zewnętrznym dane pracowników, których zatrudniają, czy – w przypadku świadczenia usług marketingowych – dane swoich klientów. W takich przypadkach zleceniodawca, jako administrator danych osobowych, jest zobowiązany do zawarcia umowy powierzenia z firmą zewnętrzną jako „podmiotem przetwarzającym”. Na wyróżnienie zasługują następujące przykłady zastosowania umów powierzenia danych osobowych:
– zewnętrzna obsługa BHP,
– zewnętrzna obsługa ABI a w przyszłości IOD,
– korzystanie z usług zewnętrznej księgowości,
– usługi związane z wypożyczaniem przestrzeni serwerowej,
– korzystanie z usług zewnętrznego archiwum,
– zewnętrzny dział prawny.
Elementy umowy powierzenia przetwarzania danych osobowych
Umowa między administratorem a procesorem jest zdecydowanie najważniejszym ogniwem współpracy między nimi. Biorąc pod uwagę wymogi, jakie stawia RODO, umowa łącząca obie strony musi zapewniać ścisłą kooperację. Nie może więc dziwić, że RODO poświęca jej dosyć dużo miejsca i wskazuje na minimalny zakres elementów, które powinna ona zawierać. W umowie powierzenia przetwarzania danych osobowych powinny znaleźć się postanowienia mówiące o tym, że:
- podmiot przetwarzający zobowiązuje się przetwarzać dane osobowe wyłącznie na udokumentowane polecenie administratora;
- podmiot przetwarzający zapewnia zachowanie tajemnicy przez osoby upoważnione do przetwarzania danych osobowych.
- procesor zapewnia podjęcie wszelkich środków wymaganych do bezpieczeństwa przetwarzania danych (szczegółowo wymienione m.in. w art. 32 RODO); procesor musi zapewnić taki sam stopień ochrony, do jakiego zobowiązany jest administrator;
- procesor zobowiązuje się do pomocy administratorowi (dotyczy to w szczególności pomocy przez odpowiednie środki techniczne i organizacyjne, w celu wywiązania się przez administratora z obowiązku odpowiadania na żądania osoby, której dane dotyczą; pomoc taka powinna być zapewniona przez podmiot przetwarzający również w innych obowiązkach administratora, wymienionych w art. 32-36 RODO; oznacza to m.in. sytuacje zaistnienia naruszenia ochrony danych osobowych czy przypadki, gdzie występuje zwiększone ryzyko naruszenia praw lub wolności osób fizycznych – szczególnie w przypadku użycia nowych technologii;
- procesor zobowiązuje się do usunięcia lub zwrotu danych osobowych po zakończeniu czynności związanych z ich przetwarzaniem;
- podmiot przetwarzający zobowiązuje się do udostępniania wszelkich potrzebnych informacji administratorowi i do umożliwienia dokonania audytów.
Wymienione powyżej elementy to minimum, które powinna zawierać każda umowa. Nie jest jednak wykluczone, aby zawrzeć w niej jeszcze dodatkowe elementy, które będą stanowić dodatkowe zabezpieczenie. Jakie to mogą być postanowienia? Przykładowo może to być wprowadzenie kar umownych za naruszenia ochrony danych przez przedmiot przetwarzający, wprowadzenie zasad przeprowadzania audytów lub określenie sposobów zakończenia współpracy w przyszłości.
I jeszcze jedna ważna informacja: Umowa powierzenia przetwarzania danych osobowych powinna zostać sporządzona na piśmie. Możliwa jest również jej forma elektroniczna.
Co jeszcze zmienia RODO? Powierzanie przetwarzania danych, Obowiązek zgłaszania naruszeń, Obowiązek aktualizowania uzyskanej już raz zgody na przetwarzanie danych, Zgoda dziecka na przetwarzanie danych, Prawo do przenoszalności danych, Prawo do bycia zapomnianym,
