Zasady tworzenia umów powierzenia przetwarzania danych

Pod pojęciem powierzenia przetwarzania danych kryje się w pewnym sensie outsourcing ich przetwarzania. Firma, której klienci przekazali dane, może zlecić wykonywanie obowiązków związanych z ich przetwarzaniem innemu podmiotowi.

Nie jest to sprzedaż bazy danych. Podmiot, któremu powierzono przetwarzanie danych, nie może korzystać z nich we własnym celu, np. do promowania swoich produktów lub usług.

Decydując się na powierzenie danych innej firmie, trzeba być świadomym, że w żaden sposób nie zwalnia to nas z odpowiedzialności za dane. Dlatego tak ważne jest zapisanie w umowie powierzenia możliwości sprawowania skutecznej kontroli nad przetwarzaniem danych przez wykonawcę. Wybierając więc „powiernika” przetwarzanych danych osobowych, należy zwrócić uwagę w szczególności na to czy:

• w takiej firmie został ustanowiony Administrator Bezpieczeństwa Informacji (ABI);

• zapewniono poziom zabezpieczeń informacji odpowiadający ich charakterowi;

• zostały wydane upoważnienia dla konkretnych pracowników do przetwarzania danych osobowych czy też nie ma żadnej polityki w tym zakresie.

W umowie można zawrzeć preambułę wyjaśniającą cel jej zawarcia.

Na początku pierwszego paragrafu trzeba umieścić to co najważniejsze, czyli przedmiot umowy. Podstawowe obowiązki i oświadczenia stron mogą powinny zostać ujęte w kolejnym paragrafie. Ważne jest też określenie miejsca przetwarzania.

Przetwarzający powinien się także zobowiązać do:

• zastosowania środków technicznych i organizacyjnych zapewniających ochronę odpowiednią do zagrożeń oraz kategorii danych osobowych; w szczególności powinien zabezpieczyć je przed udostępnieniem ich osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem;

• prowadzenia dokumentacji opisującej sposób przetwarzania danych osobowych oraz zastosowane środki techniczne i organizacyjne;

• dopuszczenia do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład jedynie osób przeszkolonych oraz posiadających upoważnienia do dostępu;

• prowadzenia ewidencji osób przetwarzających dane osobowe;

• zapewnienia kontroli nad przekazywaniem danych oraz ich wprowadzaniem do zbioru, w tym prowadzenia ewidencji kto i kiedy czynności tych dokonywał;

• zobowiązania osób zatrudnionych przy przetwarzaniu danych do zachowania ich w tajemnicy.

W umowie należy zawrzeć też postanowienia dotyczące konkretnych osób, które w ramach struktur Przetwarzającego będą miały dostęp do danych.

Jeżeli dana firma posiada politykę bezpieczeństwa lub instrukcję zarządzania systemami informatycznymi, Powierzający powinien znać ich zapisy. Można umieścić je w załącznikach do umowy.

Umowa powinna przewidywać, że „gdy osoba trzecia będzie dochodzić od Powierzającego odszkodowania za niezgodne z Ustawą przetwarzanie danych osobowych lub naruszenie dóbr osobistych lub inne czyny związane z posiadaniem i wykorzystaniem danych osobowych, Przetwarzający będzie współdziałać z Powierzającym w celu rozstrzygnięcia sporu na korzyść Powierzającego, w tym udostępni wszelkie wymagane przez Powierzającego informacje i dokumenty związane ze sprawą”. Warto też zastrzec obowiązek zapłaty kary umownej.

Umowa powierzenia powinna być zawarta na czas określony. Warto zastrzec sobie możliwie krótki okres jej rozwiązania. Pozwoli to uniknąć sytuacji, w której dane osobowe naszych klientów obsługuje podmiot, do którego straciliśmy zaufanie.

W umowie trzeba uregulować także wynagrodzenie przetwarzającego, prawo podmiotu powierzającego przetwarzanie danych do kontroli i sposób postępowania na wypadek zgłoszenia się do przetwarzającego osoby, której dane są przetwarzane. W umowie powinien znaleźć się też zakaz dalszego powierzania przetwarzania danych.

Całość powinny uzupełniać typowe postanowienia występujące także w innych umowach, dotyczące zachowania poufności, wyznaczenia osób do kontaktu czy możliwości renegocjowania umowy.