Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Umowa powierzenia przetwarzania danych osobowych

12-05-2021 Autor: Adrian Szutkiewicz

Umowa powierzenia przetwarzania danych osobowych jest instrumentem regulującym warunki, a nie jedynie zarysem relacji powierzenia przetwarzania danych osobowych. Dlatego warto ją tak skonstruować, żeby zabezpieczyć się na okoliczność naruszenia ochrony danych osobowych u procesora.

 

godnie z zasadą, że umowa jest pisana na złe czasy, jej postanowienia powinny zostać skonstruowane tak, aby chroniły interesy administratora na wypadek tych zdarzeń, gdzie sposób działania, postawa i ich adekwatność mają kluczowe znaczenie dla określenia jego odpowiedzialności za przetwarzanie danych osobowych oraz dla zapewnienia, że wszelkie prawa i interesy podmiotów danych są odpowiednio zabezpieczone – nie tylko te wynikające z przepisów rodo.

Okoliczności, które mogą zostać uwzględnione w umowie powierzenia przetwarzania danych osobowych, dają się podzielić na trzy główne bloki:

  1. wprowadzenie takich środków zabezpieczenia technicznego i organizacyjnego, by maksymalnie zmniejszyć możliwość wystąpienia naruszenia;
  2. określenie szczegółów działań podejmowanych na wypadek naruszenia ochrony danych osobowych zmierzających do maksymalnego ograniczenia jego skutków;
  3. uregulowanie obowiązków współdziałania nałożonych na procesora w sposób umożliwiający administratorowi sporządzenie kompleksowo, rzetelnie oraz na czas informacji:

 

  • które powinny być uwzględnione przez administratora w prowadzonym rejestrze naruszeń;
  • przekazywanych w zgłoszeniu naruszenia do właściwego organu nadzorczego;
  • przekazywanych w zawiadomieniach kierowanych do podmiotów danych;
  • przekazywanych organowi nadzorczemu w ramach ewentualnego postępowania kontrolnego.

Działania prewencyjne

Warto zadbać o to, by zapisy umowy powierzenia przetwarzania danych osobowych zawierały zobowiązanie dla procesora do objęcia przez niego powierzonych mu do przetwarzania danych osobowych. Procesor powinien wykorzystać środki zabezpieczenia technicznego i organizacyjnego, które są adekwatne do ryzyka naruszenia praw lub wolności osób fizycznych. Zobowiązanie to powinno obowiązywać nie tylko w dniu rozpoczęcia przetwarzania danych osobowych przez procesora, ale również przez cały okres trwania relacji powierzenia aż do usunięcia lub zwrotu danych osobowych. Stąd dobrą praktyką jest zawarcie w umowie powierzenia odpowiednich klauzul aktualizacyjnych.

Zgodnie z wytycznymi EROD 7/2020 dotyczącymi koncepcji administratora i procesora na gruncie rodo, które przyjęto do konsultacji 2 września 2020 r.:

umowa powierzenia przetwarzania danych osobowych nie powinna wyłącznie cytować przepisów RODO. Umowa powinna odnosić się lub wskazywać środki bezpieczeństwa, które powinny być zaimplementowane, zobowiązanie podmiotu przetwarzającego do uzyskania zgody administratora przed wprowadzeniem zmian oraz zasady regularnego przeglądu środków bezpieczeństwa w celu oceny ich adekwatności w stosunku do ryzyka, które może ewoluować wraz z biegiem czasu.

Stopień szczegółowości we wskazaniu środków bezpieczeństwa zawartych w umowie powinien być taki, by umożliwić administratorowi ocenę rzeczywistych środków bezpieczeństwa, wprowadzonych przez przetwarzającego na podstawie art. 32 ust. 1 RODO.

Dodatkowo, szczegółowe wskazanie zastosowanych środków bezpieczeństwa jest niezbędne w celu umożliwienia administratorowi spełnienia przesłanki rozliczalności, o której mowa w art. 5 ust. 2 RODO.

Wskazane wytyczne EROD można krótko podsumować stwierdzeniem – w umowie powierzenia przetwarzania danych osobowych powinno się określić środki zabezpieczenia technicznego i organizacyjnego w sposób na tyle szczegółowy, by możliwe było jednoznaczne stwierdzenie, czy procesor naruszył konkretne postanowienia umowy.


Kwestią budzącą kontrowersje jest dopuszczalność zastrzegania kar umownych w umowie powierzenia przetwarzania danych osobowych. Z uwagi na charakter umowy powierzenia przetwarzania danych osobowych oraz to, że reguluje ona nie tyle warunki współpracy gospodarczej (od tego jest umowa główna), ile zarządzanie relacją powierzenia przetwarzania danych osobowych, należałoby raczej uznać, że nie ma w niej miejsca na kary umowne zastrzegane między stronami.

 

Przekazanie danych osobowych do przetwarzania

Szczególnej uwagi wymaga sytuacja, w której administrator powierza procesorowi większość czynności przetwarzania danych osobowych, a sam nie ma bezpośredniego, osobistego i ciągłego nadzoru nad operacjami przetwarzania danych osobowych, ponieważ nie wykonuje ich samodzielnie. Wówczas to od czynności procesora zależy możliwość wywiązania się przez administratora z ciążących na nim obowiązków. Im mniejszy kontakt administratora z przetwarzanymi w jego imieniu i na jego rzecz danymi osobowymi, tym ważniejsze, by zapisy regulujące pomoc procesora w wywiązaniu się przez administratora z ciążących na nim obowiązków określonych w art. 32–36 rodo były dokładniejsze i ściślej egzekwowane.

Umowa powierzenia przetwarzania danych osobowych jest instrumentem odrębnym od umowy głównej (umowy gospodarczej), która jest podstawą do podjęcia przez administratora i procesora czynności skutkujących pojawieniem się relacji powierzenia przetwarzania danych osobowych. Najczęściej okres obowiązywania umowy powierzenia przetwarzania danych osobowych jest powiązany z umową główną. Pozostaje więc pytanie – kiedy dokonać weryfikacji procesora pod kątem zapewnienia przez niego należytej ochrony powierzonych do przetwarzania danych osobowych, tak żeby nie przekazać danych osobowych do przetwarzania w środowisku, które będzie rodziło nieakceptowalne ryzyko.

Do rozważenia jest wprowadzenie do umowy powierzenia postanowienia, zgodnie z którym przekazanie danych do przetwarzania nastąpi dopiero w momencie, w którym administrator w sposób pozytywny zweryfikuje działalność procesora pod kątem spełniania przez niego przepisów rodo oraz konkretnych wymogów umowy powierzenia.

 

[...]

 

Autor jest prawnikiem w  Kancelarii A.  Sobczyk i  Współpracownicy.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.