Procedura dotycząca zwierania umów związanych z przetwarzaniem danych osobowych

Procedura jest jedynie propozycją zapisów. Przedstawione wytyczne powinny być dostosowane do struktury firmy i wykonywanych operacji przetwarzania danych.

RODO (art. 28) wprowadza szczegółowe wymogi w zakresie treści umowy powierzenia danych osobowych. Administrator jest zobowiązany do wymagania od podmiotu, któremu zamierza powierzyć dane, aby spełniał on obowiązki (wynikające z przepisów) spoczywające na podmiocie przetwarzającym.

Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy wiążącej podmiot przetwarzający i administratora, która określa:

  • przedmiot i czas trwania przetwarzania,
  • charakter i cel przetwarzania,
  • rodzaj danych osobowych oraz kategorie osób, których dane dotyczą,
  • obowiązki i prawa administratora,
  • obowiązki i prawa przetwarzającego (procesora).

Umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:

  • przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora,
  • zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,
  • podejmuje wszelkie środki wymagane na mocy art. 32 (bezpieczeństwo przetwarzania),
  • przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 (zgoda ADO) i 4 (warunki podpowierzenia),
  • biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą,
  • uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 (bezpieczeństwo przetwarzania, zgłaszanie naruszeń, zawiadamianie osoby o naruszeniu, ocena skutków dla ochrony danych, uprzednie konsultacje),
  • po zakończeniu świadczenia usług związanych z przetwarzaniem – zależnie od decyzji administratora – usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych,
  • udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszej umowie oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich,
  • ma obowiązek powołania inspektora ochrony danych (procesor),
  • prowadzi rejestr kategorii czynności przetwarzania (procesor),
  • ściśle współdziała z ADO (w tym np. informuje o naruszeniach ochrony danych czy udziela pomocy w wywiązywaniu się przez ADO z jego obowiązków).

Podpowierzenie

Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego podlegającego prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym. Podpowierzenie może odbyć się za zgodą administratora.