Umowa o powierzenie przetwarzania danych osobowych – wzór

16.00 

RODO zaostrzyło i uszczegółowiło wymagania stawiane przy powierzaniu danych osobowych innemu podmiotowi. Przepis art. 28 RODO określa podstawowy katalog obligatoryjnych zapisów, które musi posiadać umowa o powierzenie przetwarzania danych osobowych, jakie powinien zawrzeć administrator danych oraz podmiot przetwarzający.

Umowa o powierzenie przetwarzania danych osobowych po 25 maja 2018 roku powinna być zgodna z wymaganiami RODO. Wiąże się to z dwoma następstwami. Po pierwsze, po dacie wejścia w życie RODO każdy administrator danych przy powierzaniu danych osobowych innemu podmiotowi ma obowiązek zawrzeć stosowną umowę.

Po drugie, umowy o powierzenie danych osobowych zawarte przed 25 maja 2018 roku należy zmodyfikować (np. w formie aneksu) tak, aby spełniały wymogi RODO.

Co mówi RODO?

RODO nakład obowiązek na administratora danych, aby ten przed powierzeniem danych dokładnie sprawdził podmiot, któremu dane zostaną powierzone. Zgodnie z nowym rozporządzeniem, w przypadku „wycieku” danych osobowych z winy przetwarzającego, administrator odpowiada na równi z przetwarzającym dane.

Wprowadzanie tej regulacji daje administratorowi danych uprawnienie do przeprowadzania kontroli podmiotu przetwarzającego w zakresie zgodności jego działalności z umową oraz z RODO.

Kolejną nowością jest obowiązek usunięcia lub zwrotu przez podmiot przetwarzających wszelkich danych osobowych otrzymanych od administratora po zakończeniu umowy o powierzenie danych.

Chodzi tu także o usunięcie wszelkie istniejące kopie danej bazy danych będącej w posiadaniu podmiotu przetwarzającego. Wyjątkiem są grupy danych, wobec których prawo Unii lub prawo państwa członkowskiego nakazuje ich przechowywanie.

Elementy umowy

Umowa o powierzenie przetwarzania danych osobowych powinna zawierać takie elementy jak:

  • dane administratora danych oraz podmiotu przetwarzającego;
  • przedmiot przetwarzania – należy przez to rozumieć konkretne rodzaje danych, jakie zostaną powierzone np. imiona, nazwiska, adresy zamieszkania, adresy email.
  • czas, na jaki została zawarta umowa powierzenia przetwarzania;
  • cel, w jakim administrator przekazał podmiotowi przetwarzającemu konkretną bazę danych;
  • kategorię osób, których dane dotyczą – RODO określa je jako zbiory danych (np. zbiór danych kontrahentów, zbiór danych pracowników);
  • rodzaj powierzonych danych osobowych (dane zwykłe lub wrażliwe).
  • obowiązki i prawa administratora;
  • obowiązki podmiotu przetwarzającego.

Kiedy stosować umowę powierzenia?

Umowa o powierzenie przetwarzania danych powinna być stosowana w każdym przypadku, kiedy administrator przekazuje firmie zewnętrznej jakiekolwiek dane osób postronnych. Mogą to być klienci, kontrahenci czy pracownicy firmy.

Z szeregu przykładów należy wymienić te, które są najbardziej narażone na kontrolę UODO:

  • usługi zewnętrznego biura księgowości lub księgowego.
  • usługi zewnętrznego działu prawnego (np. stała współpraca z radcą prawnym)
  • usługi firm audytowych (np. zewnętrzny audyt finansowy);
  • obsługa BHP;
  • korzystanie z usług zewnętrznego archiwum;
  • korzystanie z usług firm hostingowych (wynajem przestrzeni na serwerze);

Podstawa prawna:

  • Rozporządzenie 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (Dz.U.UE.L.2016.119.1).

Podobne wzory pism:

Żaneta Pilarska-Czeluśniak
Żaneta Pilarska-Czeluśniak
Dziennikarz i redaktor, od lat związana z branżą prawniczą i finansową.

Opinie (0)

Brak komentarzy

Umowa o powierzenie przetwarzania danych osobowych – wzór