Czy musimy zawierać umowę powierzenia ?

W ostatnim czasie podczas audytów RODO, jak i przy okazji rozmów z naszymi klientami często pada pytanie po co nam umowy powierzenia ? czy musimy zawierać umowę powierzenia z podmiotem x czy y ? Nie jeden z naszych klientów już zdołał się o tym przekonać, że są one istotnym elementem w momencie zaistnienia incydentu czy naruszenia. 

Wyjaśnijmy najważniejsze pojęcia:

  • Administrator danych osobowych ustala cele, w jakich dane osobowe są przetwarzane, oraz sposoby, jakimi się je przetwarza. Zatem, jeśli Twoja firma/organizacja decyduje o tym „po co” i „w jaki sposób” powinno się przetwarzać dane, jest ona administratorem danych osobowych. Pracownicy przetwarzający dane w ramach Twojej organizacji wykonują w ten sposób Twoje zadania jako administratora danych.
  • Podmiot przetwarzający dane dokonuje przetwarzania danych osobowych wyłącznie w imieniu administratora. Podmiot przetwarzający dane jest zazwyczaj stroną trzecią, czyli podmiotem zewnętrznym wobec firmy. 

Obowiązki podmiotu przetwarzającego względem administratora muszą być określone w umowie lub innym instrumencie prawnym, który podlega prawu Unii lub prawu państwa członkowskiego. Umowa musi na przykład wskazywać, co się stanie z danymi osobowymi po rozwiązaniu umowy. Jak również regulacja taka musi być wiążąca, określać przedmiot i czas trwania przetwarzania, rodzaj danych osobowych oraz kategorie osób, której dane dotyczą, obowiązki i prawa administratora kluczowym w tym zakresie jest art. 28 RODO. Typową działalnością podmiotu przetwarzającego jest dostarczanie rozwiązań IT, czy usług przechowywania danych w chmurze. Podmiot przetwarzający dane może zlecić innemu podmiotowi przetwarzającemu podwykonawstwo części swoich obowiązków albo wyznaczyć podmiot współprzetwarzający dane wyłącznie po otrzymaniu uprzedniej pisemnej zgody administratora danych. Dane powinno powierzać się wyłącznie podmiotowi, który spełnia wymagania z przepisów ochrony danych osobowych. Ciąży na nim dokładnie takie sama odpowiedzialność jak na administratorze. Czyli odpowiedzialność: administracyjna, finansowo-administracyjna, cywilna czy karna.

Należy zwrócić uwagę, że uregulowanie relacji pomiędzy administratorem i podmiotem przetwarzającym w oparciu o umowę powierzenia jest obowiązkiem administratora oraz podmiotu przetwarzającego. Forma takiej umowy może być pisemna lub elektroniczna. Brak uregulowania relacji może być podstawą do nałożenia administracyjnej kary pieniężnej zgodnie z art. 83 ust. 4 a RODO. Podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, pomaga administratorowi  w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą oraz innych nałożonych na administratora przepisami RODO. Zaleca się aby rola podmiotu przetwarzającego polegała na przekazaniu administratorowi, w ustalonym przez stronie terminie, wszelkich informacji niezbędnych do realizacji określonego obowiązku. Umowa zgodna z przepisami unijnego rozporządzenia, ma na celu zapewnienie administratorowi lepszej kontroli nad przetwarzanymi przez niego danymi osobowymi dlatego jest ważnym elementem. Masz inne pytania, nurtujące cię problemy z ochroną danych osobowych skontaktuj się z doświadczonymi specjalistami dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu/.