.png)
Umowa powierzenia przetwarzania danych stanowi kluczowy dokument zapewniający stosowną ochronę dla przekazywanych danych. Co powinna zawierać, aby obiektywnie spełniać ten warunek?
Co powinna zawierać umowa powierzenia danych?
Przede wszystkim umowa powierzenia przetwarzania danych osobowych nie powinna być traktowana jak wzór, który będzie stanowił uniwersalny klucz pasujący do każdego rodzaju współpracy, który będzie obejmował powierzenie przetwarzania danych osobowych. Umowa musi mieć charakter realny i być faktycznie stosowana. W szczególności, powinna ona zawierać jak najbardziej szczegółowe informacje dotyczącego przetwarzania danych, a zatem odnosić się do konkretnej współpracy pomiędzy stronami.
Co powinna zawierać taka umowa, aby wypełniała w pełni wszystkie wymagania ze strony RODO?
· konkretne zadania i obowiązki podmiotu przetwarzającego;
· dokładne określenie podmiotu przetwarzania;
· w miarę możliwości precyzyjne określenie czasu przetwarzania;
· wyczerpujące określenie charakteru przetwarzania;
· określenie rodzaju przetwarzanych danych osobowych;
· określenie kategorii osób, których dane dotyczą;
· określenie obowiązków oraz praw administratora;
· jeśli dane osobowe są podpowierzane dalej, powinno pojawić się zobowiązanie podmiotu przetwarzającego, aby te same obowiązki zostały nałożone na kolejny podmiot;
· umowa może być oparta w całości lub części na standardowych klauzulach umownych;
· umowa może zawierać odpowiednie procedury i wzory formularzy, co usprawni przekazanie administratorowi wszelkich potrzebnych informacji.
Jaka powinna być forma umowy powierzenia danych?
Umowa powierzenia przetwarzania danych powinna zostać zawarta w formie pisemnej lub dokumentowej (elektronicznej). Zalecane jest, aby w umowie znalazły się niezbędne podpisy, zgodnie z obowiązującym prawem (np. prawem zobowiązań), w celu uniknięcia jakichkolwiek nieporozumień odnośnie obowiązywania takiej umowy(Wytyczne EROD 07/2020).
Administrator oraz podmiot przetwarzający mogą oprzeć się w pełni na standardowych klauzulach umownych przy tworzeniu umowy powierzenia lub zawrzeć własną umowę przy zastosowaniu wszystkich obowiązkowych elementów. Przy transferach do krajów trzecich konieczne jest odpowiednie zabezpieczenie takiego międzynarodowego przekazywania danych na podstawie art. 46 RODO.
Ponadto, jeśli występuje co najmniej dwóch administratorów (tj. współadministratorów), to każdy powinien zawrzeć osobną umową powierzenia, odpowiadającą jego celom.
Jakie są kary za naruszenie prawa przy umowie powierzenia danych?
Kara za naruszenie prawa przy umowie powierzenia danych wiąże się z naruszeniem RODO. Za naruszenie przepisów art. 28 RODO może zostać nałożona administracyjna kara pieniężna (art. 83 ust. 4 RODO) w wysokości do 10 mln euro, a w wypadku przedsiębiorstwa do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Kara taka może zostać nałożona na administratora, gdy dane powierzane są bez podpisania umowy lub np. administrator podpisuje dokument prawny z podmiotem, który nie zapewnia stosownej ochrony.
W wypadku podpowierzenia danych, gdy podmiot przekazuje dane osobowe dalej, to właśnie procesor może zostać ukarany, kiedy nie zapewnił on działania dalszego podmiotu przetwarzającego na podstawie umowy lub innego instrumentu prawnego. Podmiot przekazujący (procesor) dzieli współodpowiedzialność z administratorem, jeśli brał on udział w określaniu celów i sposobów przetwarzania. Poza tym przypomnę, że podpowierzanie danych może wystąpić tylko za uprzednią zgodą administratora (ogólną lub szczególną). Podjęcie takiego działania na własną rękę przez procesora sprawi, że będzie ponosił odpowiedzialność jak administrator w stosunku do tego przetwarzania (art. 28 ust. 10 RODO).
Więcej na temat umowy powierzenia przetwarzania danych osobowych przeczytasz na: https://paluckiszkutnik.pl/umowa-powierzenia-przetwarzania-danych-osobowych-zgodna-z-rodo-odpowiedzialnosc-administratora-a-podmiotu-przetwarzajacego/
