Zasady tworzenia umów powierzenia przetwarzania danych

Autor: Marcin Sarna
Data: 07-01-2015 r.

Wiele firm szuka sposobu na zapewnienie sobie możliwości korzystania z baz danych osobowych prowadzonych przez inne podmioty. Do tego niezbędna jest znajomość zasad powierzenia przetwarzania danych na podstawie odrębnej umowy. Warto też samemu wypracować dobry wzór takiej umowy.

Pod pojęciem powierzenia przetwarzania danych kryje się w pewnym sensie outsourcing ich przetwarzania. Firma, której klienci przekazali dane, może zlecić wykonywanie obowiązków związanych z ich przetwarzaniem innemu podmiotowi.

Nie jest to sprzedaż bazy danych. Podmiot, któremu powierzono przetwarzanie danych, nie może korzystać z nich we własnym celu, np. do promowania swoich produktów lub usług.

Na co zwracać uwagę

Decydując się na powierzenie danych innej firmie, trzeba być świadomym, że w żaden sposób nie zwalnia to nas z odpowiedzialności za dane. Dlatego tak ważne jest zapisanie w umowie powierzenia możliwości sprawowania skutecznej kontroli nad przetwarzaniem danych przez wykonawcę. Wybierając więc „powiernika” przetwarzanych danych osobowych, należy zwrócić uwagę w szczególności na to czy:

  • w takiej firmie został ustanowiony Administrator Bezpieczeństwa Informacji (ABI);

  • zapewniono poziom zabezpieczeń informacji odpowiadający ich charakterowi;

  • zostały wydane upoważnienia dla konkretnych pracowników do przetwarzania danych osobowych czy też nie ma żadnej polityki w tym zakresie.

Konstrukcja umowy powierzenia danych

W umowie można zawrzeć preambułę wyjaśniającą cel jej zawarcia.

Na początku pierwszego paragrafu trzeba umieścić to co najważniejsze, czyli przedmiot umowy. Podstawowe obowiązki i oświadczenia stron mogą powinny zostać ujęte w kolejnym paragrafie. Ważne jest też określenie miejsca przetwarzania.

Przetwarzający powinien się także zobowiązać do:

  • zastosowania środków technicznych i organizacyjnych zapewniających ochronę odpowiednią do zagrożeń oraz kategorii danych osobowych; w szczególności powinien zabezpieczyć je przed udostępnieniem ich osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem;

  • prowadzenia dokumentacji opisującej sposób przetwarzania danych osobowych oraz zastosowane środki techniczne i organizacyjne;

  • dopuszczenia do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład jedynie osób przeszkolonych oraz posiadających upoważnienia do dostępu;

  • prowadzenia ewidencji osób przetwarzających dane osobowe;

  • zapewnienia kontroli nad przekazywaniem danych oraz ich wprowadzaniem do zbioru, w tym prowadzenia ewidencji kto i kiedy czynności tych dokonywał;

  • zobowiązania osób zatrudnionych przy przetwarzaniu danych do zachowania ich w tajemnicy.

W umowie należy zawrzeć też postanowienia dotyczące konkretnych osób, które w ramach struktur Przetwarzającego będą miały dostęp do danych.

Jeżeli dana firma posiada politykę bezpieczeństwa lub instrukcję zarządzania systemami informatycznymi, Powierzający powinien znać ich zapisy. Można umieścić je w załącznikach do umowy.

Umowa powinna przewidywać, że „gdy osoba trzecia będzie dochodzić od Powierzającego odszkodowania za niezgodne z Ustawą przetwarzanie danych osobowych lub naruszenie dóbr osobistych lub inne czyny związane z posiadaniem i wykorzystaniem danych osobowych, Przetwarzający będzie współdziałać z Powierzającym w celu rozstrzygnięcia sporu na korzyść Powierzającego, w tym udostępni wszelkie wymagane przez Powierzającego informacje i dokumenty związane ze sprawą”. Warto też zastrzec obowiązek zapłaty kary umownej.

Umowa powierzenia powinna być zawarta na czas określony. Warto zastrzec sobie możliwie krótki okres jej rozwiązania. Pozwoli to uniknąć sytuacji, w której dane osobowe naszych klientów obsługuje podmiot, do którego straciliśmy zaufanie.

W umowie trzeba uregulować także wynagrodzenie przetwarzającego, prawo podmiotu powierzającego przetwarzanie danych do kontroli i sposób postępowania na wypadek zgłoszenia się do przetwarzającego osoby, której dane są przetwarzane. W umowie powinien znaleźć się też zakaz dalszego powierzania przetwarzania danych.

Całość powinny uzupełniać typowe postanowienia występujące także w innych umowach, dotyczące zachowania poufności, wyznaczenia osób do kontaktu czy możliwości renegocjowania umowy.

Marcin Sarna, radca prawny

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Biznesplan

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

Polecane artykuły

Polecamy kancelarię:

  • adwokat Wojciech Rudzki - kancelaria adwokacka

    Józefa Piłsudskiego 40/4 Kraków 31 - 111

    Wyświetl wizytówkę
  • KANCELARIA ADWOKACKA Adwokat Michał Gajda

    ul. Księcia Bogusława X 1/3, 70-440 Szczecin

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Robert Dudkowiak

    ul. Jana Pawła II 11 lok. 5, 62-300 Września

    Wyświetl wizytówkę
  • Kancelaria Adwokacka Adwokata Piotra Sęka

    ul. Narutowicza 44 lok. 20, 90-135 Łódź

    Wyświetl wizytówkę
  • Kancelaria Radców Prawnych ARVE M.Kusztan & R.Ponichtera Sp. K.

    ul. Czysta 4, 50-013 Wrocław

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marek Foryś

    ul. Słupecka 9/1, Gdynia

    Wyświetl wizytówkę
  • Kancelaria MERITUM

    ulica Westerplatte 13/5, 31-033 Kraków

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Radosław Tymiński

    Łukowska 9 Lok. 126, 04-133 Warszawa

    Wyświetl wizytówkę
  • Kancelaria Prawna Iurisco Edyta Przybyłek

    ul. Zgrzebnioka 28, 40-520 Katowice

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marcin Majcherczyk

    ul. Stawowa 4 lok. 39, 41-200 Sosnowiec

    Wyświetl wizytówkę
  • THE N.E.W.S. LAW CENTER Kancelaria Adwokatów i Radców Prawnych

    ul. Kazachska 1/89, 02-999 Warszawa

    Wyświetl wizytówkę
Array ( [docId] => 36346 )
Array ( [docId] => 36346 )

Array ( [docId] => 36346 )