Prawodawca europejski zdecydował się na określenie zakresu przedmiotowego umowy powierzenia i wprowadzenie określonych wymogów dotyczących jej formy. Zgodnie z art. 28 ust. 3 RODO umowa taka musi określać co najmniej:
a) w odniesieniu do przetwarzania, jego:
Co trzeba uregulować w umowie powierzenia zgodnej z RODO
Ogólne rozporządzenie o ochronie danych (RODO), podobnie jak aktualne polskie przepisy, umożliwia korzystanie z instytucji powierzenia przetwarzania danych. Wprowadza jednak nowe rozwiązania m.in. w kwestii wymagań wobec procesorów. Dowiedz się, jakie zapisy możesz zawrzeć w umowie powierzenia zgodnej z RODO.
- przedmiot,
- czas trwania,
- charakter,
- cel;
b) rodzaj przetwarzanych danych;
c) kategorie osób, których dane dotyczą;
d) obowiązki i prawa administratora.
c) kategorie osób, których dane dotyczą;
d) obowiązki i prawa administratora.
Przedmiot, czas trwania i cel przetwarzania
Za przedmiot przetwarzania należy uznać przedmiot samej umowy rozumianej jako opis operacji dokonywanych na danych osobowych (np. zbieranie, utrwalanie i przechowywanie danych czy tylko ich niszczenie). Czas trwania przetwarzania może zostać określony zarówno poprzez podanie konkretnej daty (umowa na czas określony), jak i obejmować usługę realizowaną w trybie ciągłym z podanym okresem jej wypowiedzenia (umowa na czas nieokreślony). Powierzenie może obejmować w ramach szerszej umowy powierzenia szereg poszczególnych poleceń administratora w stosunku do konkretnych danych. Celem przetwarzania może być np. marketing produktów i usług oferowanych przez administratora, dostarczenie towaru zakupionego przez klienta administratora czy prowadzenie rekrutacji w imieniu podmiotu powierzającego dane do przetwarzania. Procesor może oczywiście w ramach jednej umowy powierzenia przetwarzać dane w kilku różnych celach.
Za przedmiot przetwarzania należy uznać przedmiot samej umowy rozumianej jako opis operacji dokonywanych na danych osobowych (np. zbieranie, utrwalanie i przechowywanie danych czy tylko ich niszczenie). Czas trwania przetwarzania może zostać określony zarówno poprzez podanie konkretnej daty (umowa na czas określony), jak i obejmować usługę realizowaną w trybie ciągłym z podanym okresem jej wypowiedzenia (umowa na czas nieokreślony). Powierzenie może obejmować w ramach szerszej umowy powierzenia szereg poszczególnych poleceń administratora w stosunku do konkretnych danych. Celem przetwarzania może być np. marketing produktów i usług oferowanych przez administratora, dostarczenie towaru zakupionego przez klienta administratora czy prowadzenie rekrutacji w imieniu podmiotu powierzającego dane do przetwarzania. Procesor może oczywiście w ramach jednej umowy powierzenia przetwarzać dane w kilku różnych celach.
Rodzaj przetwarzanych danych
Za rodzaj przetwarzanych danych należy uznać ich kategorie. Powinny one jednak zostać określone w sposób wyczerpujący i precyzyjny. Może mieć to istotne znaczenie np. z powodu zasady minimalizacji danych, za której nieprzestrzeganie odpowiadał będzie administrator, lub też w przypadku konieczności zweryfikowania czy wszystkie kategorie danych zostały zwrócone po zakończeniu przetwarzania.
Za rodzaj przetwarzanych danych należy uznać ich kategorie. Powinny one jednak zostać określone w sposób wyczerpujący i precyzyjny. Może mieć to istotne znaczenie np. z powodu zasady minimalizacji danych, za której nieprzestrzeganie odpowiadał będzie administrator, lub też w przypadku konieczności zweryfikowania czy wszystkie kategorie danych zostały zwrócone po zakończeniu przetwarzania.
Kategorie osób, których dane dotyczą
Określenie kategorii osób, których dane dotyczą, powinno zostać dokonane poprzez opisowe doprecyzowanie danych grupy, np. osoby świadczące pracę na rzecz administratora na podstawie umowy zlecenia w latach 2015-2017; subskrybenci newslettera prowadzonego przez redakcję bloga "Życie zaczyna się po czterdziestce".
Określenie kategorii osób, których dane dotyczą, powinno zostać dokonane poprzez opisowe doprecyzowanie danych grupy, np. osoby świadczące pracę na rzecz administratora na podstawie umowy zlecenia w latach 2015-2017; subskrybenci newslettera prowadzonego przez redakcję bloga "Życie zaczyna się po czterdziestce".
Prawa i obowiązki administratora i procesora
W umowie powierzenia powinny również znaleźć się zapisy określające prawa i obowiązki administratora w relacji z podmiotem przetwarzającym, a przez to także odpowiadające im prawa i obowiązki procesora. Wśród nich strony mogą np. przewidzieć dla administratora prawo do niezwłocznego poinformowania go przez procesora o uzyskaniu dostępu do powierzonych danych przez osobę nieuprawnioną czy o odwołaniu inspektora ochrony danych i jego przyczynach. Nie należy jednak ograniczać się jedynie do podania katalogu takich uprawnień i obowiązków, ale także skupić się na sposobie ich wykonywania. Administrator nie powinien zapominać np. o ewentualnym zastrzeżeniu prawa do regresu w stosunku do procesora, którego działanie doprowadziło do powstania szkody po stronie podmiotu danych – wobec ukształtowania solidarnej odpowiedzialności administratora i procesora może mieć to szczególne znaczenie praktyczne.
Katalog elementów, które muszą stać się przedmiotem umowy powierzenia, ma charakter otwarty tzn., że strony umowy mogą (i powinny) uregulować w niej także inne kwestie związane z powierzeniem danych. Dlatego też możliwe jest np. wprowadzenie do umowy powierzenia regulacji dotyczących kar umownych czy ustalenie zasad współpracy pomiędzy inspektorami ochrony danych ustanowionymi przez administratora i procesora .
Wielu administratorów, zamiast korzystać z umów indywidualnych, z pewnością chętnie sięgnie po standardowe klauzule umowne, jeśli takie zostaną określone przez Komisję czy przyjęte przez organ nadzorczy. RODO takie rozwiązanie przewiduje, jednak dziś trudno przewidzieć, kiedy takie klauzule umowne mogą się pojawić. Obecnie administratorom pozostaje więc głównie przygotowanie indywidualnych umów powierzenia.
W umowie powierzenia powinny również znaleźć się zapisy określające prawa i obowiązki administratora w relacji z podmiotem przetwarzającym, a przez to także odpowiadające im prawa i obowiązki procesora. Wśród nich strony mogą np. przewidzieć dla administratora prawo do niezwłocznego poinformowania go przez procesora o uzyskaniu dostępu do powierzonych danych przez osobę nieuprawnioną czy o odwołaniu inspektora ochrony danych i jego przyczynach. Nie należy jednak ograniczać się jedynie do podania katalogu takich uprawnień i obowiązków, ale także skupić się na sposobie ich wykonywania. Administrator nie powinien zapominać np. o ewentualnym zastrzeżeniu prawa do regresu w stosunku do procesora, którego działanie doprowadziło do powstania szkody po stronie podmiotu danych – wobec ukształtowania solidarnej odpowiedzialności administratora i procesora może mieć to szczególne znaczenie praktyczne.
Katalog elementów, które muszą stać się przedmiotem umowy powierzenia, ma charakter otwarty tzn., że strony umowy mogą (i powinny) uregulować w niej także inne kwestie związane z powierzeniem danych. Dlatego też możliwe jest np. wprowadzenie do umowy powierzenia regulacji dotyczących kar umownych czy ustalenie zasad współpracy pomiędzy inspektorami ochrony danych ustanowionymi przez administratora i procesora .
Wielu administratorów, zamiast korzystać z umów indywidualnych, z pewnością chętnie sięgnie po standardowe klauzule umowne, jeśli takie zostaną określone przez Komisję czy przyjęte przez organ nadzorczy. RODO takie rozwiązanie przewiduje, jednak dziś trudno przewidzieć, kiedy takie klauzule umowne mogą się pojawić. Obecnie administratorom pozostaje więc głównie przygotowanie indywidualnych umów powierzenia.
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
