Jeśli kierownictwo instytucji woli powierzyć kontrolę nad bezpieczeństwem wymaganym przepisami RODO innemu podmiotowi, wystarczy umowa powierzenia przetwarzania danych osobowych. Wówczas usługodawca przejmuje całkowitą odpowiedzialność za ochronę poufnych informacji względem przepisów prawa i roszczeń osób poszkodowanych z tytułu Kodeksu Cywilnego. Warto jednak pamiętać o kilku detalach, by w przypadku egzekwowania odpowiedzialności od podmiotu zewnętrznego dopełnić wszystkich procedur świadczących o legalności zawartej umowy.
Art. 28 Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej Rozporządzenie RODO, reguluje kwestię powierzenia przetwarzania danych osobowych.
Komu możemy powierzyć przetwarzanie danych osobowych?
Art. 28 ust. 1 Rozporządzenia RODO jasno wskazuje, iż jeżeli Administratora danych osobowych chce powierzyć przetwarzanie danych, to musi skorzystać z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych.
Ma to na celu zapewnienie bezpieczeństwa danych, zgodnego z prawem ich przetwarzania oraz ochrony praw osób, których dane dotyczą.
W jakiej formie powierzamy przetwarzanie danych osobowych?
Zgodnie z treścią art. 28 ust. 3 Rozporządzania RODO „przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego”.
W praktyce możemy spotkać się, iż powierzenie przetwarzania danych będzie odbywać się m.in.
- w ramach odrębnej Umowy powierzenia przetwarzania danych osobowych,
- w ramach umowy podstawowej z zapisami o powierzeniu przetwarzania danych osobowych,
- inne instrumenty prawne, które podlegają prawu Unii lub prawu państwa członkowskiego np. w ramach ustawy.
Umowa powierzenia przetwarzania danych osobowych może być zawarta w wersji papierowej jak i elektronicznej.
Co powinna zawierać umowa powierzenia przetwarzania danych osobowych?
Przygotowując wzór umowy powierzenia przetwarzania danych osobowych należy uwzględnić następujące pozycje: (art. 28 ust. 3 Rozporządzenia RODO)
- Przedmiot przetwarzania
- Czas trwania przetwarzania
- Charakter i cel przetwarzania
- Rodzaj danych osobowych (zakres danych osobowych)
- Kategorie osób, których dane dotyczą
- Obowiązki oraz prawa Administratora danych osobowych
W umowie warto także uregulować kwestie związane z poufnością danych osobowych, jeżeli nie zawarliśmy odrębnej umowy o poufności (NDA) ale także w jaki sposób będą realizowane prawa osób, których dane dotyczą.
Umowę powierzenia przetwarzania danych osobowych podpisują upoważnione osoby i tak np.
- w przypadku działalności gospodarczej czyni to właściciel firmy,
- podmioty wpisane do Krajowego Rejestru Sądowego – zgodnie z reprezentacją w KRS.
Możemy także upoważnić osobę do zawarcia w naszym imieniu Umowy powierzenia, ale wymaga to przygotowania oraz podpisania pisemnego upoważnienia.
Obowiązki Podmiotu przetwarzającego
Bez względu na powyższe zapisy Umowa powierzenia przetwarzania danych osobowych powinna regulować nie tylko obowiązki Administratora Danych Osobowych, ale także podmiotu przetwarzającego.
Wynikają one wprost z art. 28 ust. 3 Rozporządzenie o ochronie danych osobowych i zalicza się do nich m.in.
- przetwarzanie danych osobowych wyłącznie na udokumentowane polecenie Administratora,
- osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,
- podejmuje wszelkie środki wymagane na mocy art. 32 Rozporządzenia RODO ( środki techniczne i organizacyjne),
- uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36 np. kwestia naruszenia ochrony danych osobowych,
- po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych,
- udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków.
Podsumowanie
W związku z zapewnieniem ochrony danych osobowych oraz wywiązaniem się z obowiązku warto jest:
- określić z jakim podmiotem należy zawrzeć umowę powierzenia przetwarzania danych osobowych
- opracować oraz wdrożyć procedurę weryfikacji podmiotów przetwarzających,
- opracować wzór umowy powierzenia przetwarzania danych osobowych,
- poinformować oraz przeszkolić pracowników,
- prowadzić rejestr zawartych umów powierzenia przetwarzania danych osobowych.