Ebook pobrany przez biuro@pawlas.eu
Jakie obowiązki będzie miał podmiot przetwarzający według unijnego
rozporządzenia o ochronie danych
1
Jeżeli przetwarzanie danych osobowych ma być dokonywane w imieniu administratora,
powinien on korzystać wyłącznie z usług takich podmiotów przetwarzających, które
zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i
organizacyjnych, by przetwarzanie spełniało wymogi ogólnego rozporządzenia o ochronie
danych (rodo) i chroniło prawa osób, których dane dotyczą.
Podmiot przetwarzający nie powinien korzystać z usług innego podmiotu przetwarzającego bez
uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej
zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach
dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym
administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
Podstawą przetwarzania danych osobowych przez podmiot przetwarzający powinna być umowa lub
inny instrument prawny, który podlega prawu Unii lub prawu państwa członkowskiego i wiąże
podmiot przetwarzający i administratora, określając przedmiot i czas trwania przetwarzania, charakter
i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i
prawa administratora. Ta umowa lub inny instrument prawny powinny określać, iż podmiot
przetwarzający:
a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co
dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji
międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo
państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku
przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym
obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na
ważny interes publiczny;
Ebook pobrany przez biuro@pawlas.eu
Jakie obowiązki będzie miał podmiot przetwarzający według unijnego
rozporządzenia o ochronie danych
2
b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do
zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi
zachowania tajemnicy;
c) podejmuje wszelkie środki wymagane na mocy art. 32 ogólnego rozporządzenia (stosuje
odpowiednie środki bezpieczeństwa danych osobowych po uwzględnieniu możliwego do
wystąpienia ryzyka);
d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których
mowa w art. 28 ust. 2 i 4 ogólnego rozporządzenia (nie korzysta z usług innego podmiotu
przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora i
na podmiot, z którego korzysta jako procesor, zostają nałożone te same obowiązki ochrony
danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem
przetwarzającym);
e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi
poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku
odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw
określonych w rozdziale III ogólnego rozporządzenia (prawo do sprostowania danych,
usunięcia danych, ograniczenia przetwarzania, przenoszenia danych);
f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga
administratorowi wywiązać się z obowiązków określonych w art. 32–36 ogólnego
rozporządzenia – zapewnienie bezpieczeństwa danych osobowych, zgłaszanie naruszenia
ochrony danych organowi nadzorczemu i zawiadamianie o tym osoby, której dane dotyczą,
prowadzenie oceny skutków dla ochrony danych, uprzednie konsultacje z organem
nadzorczym;
Ebook pobrany przez biuro@pawlas.eu
Jakie obowiązki będzie miał podmiot przetwarzający według unijnego
rozporządzenia o ochronie danych
3
g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji
administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich
istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują
przechowywanie danych osobowych;
h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia
obowiązków określonych powyżej oraz umożliwia administratorowi lub audytorowi
upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i
przyczynia się do nich. W związku z tym obowiązkiem podmiot przetwarzający niezwłocznie
informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie
ogólnego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o
ochronie danych.
Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot
przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot
przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu
Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym
akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach
mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia
odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom
niniejszego rozporządzenia. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających
na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie
obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie
przetwarzającym.
Wystarczające gwarancje, o których mowa powyżej , podmiot przetwarzający może wykazać między
innymi poprzez stosowanie zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu
certyfikacji.
Ebook pobrany przez biuro@pawlas.eu
Jakie obowiązki będzie miał podmiot przetwarzający według unijnego
rozporządzenia o ochronie danych
4
Bez uszczerbku dla indywidualnych umów między administratorem a podmiotem przetwarzającym,
umowa lub inny akt prawny, o których powyżej mogą się opierać w całości lub w części na
standardowych klauzulach umownych, o których mowa dalej także gdy są one elementem certyfikacji
udzielonej administratorowi lub podmiotowi przetwarzającemu.
Komisja Europejska może określić standardowe klauzule umowne dotyczące poruszanych kwestii
godnie z procedurą sprawdzającą. Organ nadzorczy może też przyjąć standardowe klauzule umowne
zgodnie z mechanizmem spójności, o którym mowa w art. 63 rozporządzenia. Umowa lub inny akt
prawny powinny mieć maję formę pisemną, w tym formę elektroniczną.
Jeżeli podmiot przetwarzający naruszy ogólne rozporządzenie przy określaniu celów i sposobów
przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania.
O umowie powierzenia generalnie powinien pamiętać administrator danych. Coraz częściej jednak to
już podmioty przetwarzające, zdające sobie sprawę z tych obowiązków, mają odpowiednie wzory
umów, wraz z zapisami lub załącznikami określającymi zasady powierzenia danych. Podnosi to jeszcze
bardziej wiarygodność i profesjonalizm tych podmiotów.
Administrator i podmiot przetwarzający mogą postanowić skorzystać z umowy indywidualnej lub ze
standardowych klauzul umownych, które zostały przyjęte bezpośrednio przez Komisję Europejską
albo które zostały przyjęte przez organ nadzorczy.
Ebook pobrany przez biuro@pawlas.eu
Jakie obowiązki będzie miał podmiot przetwarzający według unijnego
rozporządzenia o ochronie danych
5
Przykładowy wzór umowy powierzenia przetwarzania danych spełniający wymogi ogólnego
rozporządzenia o ochronie danych
Załącznik nr 1 do Umowy z dnia ………….
Umowa powierzenia przetwarzania danych osobowych zawarta w …………………………………. w dniu
................................. pomiędzy: XYZ sp. z o. o. ………………., zwaną dalej Zleceniodawcą lub
Administratorem danych (administratorem) a …………………………………………………, zwaną dalej
Zleceniobiorcą lub Podmiotem przetwarzającym, zwanymi każdą z osobna w dalszej części Umowy
„Stroną”, a łącznie „Stronami”.
Zważywszy, że:
- Zleceniobiorca będzie wykonywał odpłatne świadczenie na rzecz Zleceniodawcy usług z zakresu
……………………….,
- Zleceniobiorca w ramach usług będzie miał dostęp do danych osobowych ………………. Administratora
danych,
Strony niniejszym postanawiają zawrzeć Umowę powierzenia przetwarzania danych osobowych
(„Umowa”), o następującej treści:
§ 1
Oświadczenia Stron
1. Administrator danych powierza Zleceniobiorcy do przetwarzania dane osobowe, które zgromadził
zgodnie z obowiązującymi przepisami prawa i przetwarza w zbiorze danych o nazwie ………………..
Ebook pobrany przez biuro@pawlas.eu
Jakie obowiązki będzie miał podmiot przetwarzający według unijnego
rozporządzenia o ochronie danych
6
2. Zleceniobiorca oświadcza, że dysponuje środkami umożliwiającymi prawidłowe przetwarzanie
danych osobowych powierzonych przez Administratora danych, w zakresie i celu określonym Umową.
3. Zleceniobiorca oświadcza również, że osobom zatrudnionym przy przetwarzaniu powierzonych
danych osobowych nadane zostały upoważnienia do przetwarzania danych osobowych oraz że osoby
te zostały zapoznane z przepisami o ochronie danych osobowych oraz z odpowiedzialnością za ich
nieprzestrzeganie, zobowiązały się do ich przestrzegania oraz do bezterminowego zachowania w
tajemnicy przetwarzanych danych osobowych i sposobów ich zabezpieczenia.
§ 2
Cel, zakres, miejsce przetwarzania powierzonych danych osobowych
1. Administrator danych powierza Zleceniobiorcy przetwarzanie danych osobowych ………….
Administratora danych jedynie w celu prawidłowego wykonywania ……………….
2. Zleceniobiorca zobowiązuje się do przetwarzania powierzonych danych osobowych wyłącznie w
celach związanych z realizacją Umowy i wyłącznie w zakresie, jaki jest niezbędny do realizacji tych
celów.
3. Na wniosek Administratora danych lub osoby, której dane dotyczą Zleceniobiorca wskaże miejsca, w
których przetwarza powierzone dane.
§ 3
Zasady przetwarzania danych osobowych
1. Strony zobowiązują się wykonywać zobowiązania wynikające z niniejszej Umowy z najwyższą
starannością zawodową w celu zabezpieczenia prawnego, organizacyjnego i technicznego interesów
Stron w zakresie przetwarzania powierzonych danych osobowych.
Ebook pobrany przez biuro@pawlas.eu
Jakie obowiązki będzie miał podmiot przetwarzający według unijnego
rozporządzenia o ochronie danych
7
2. Zleceniobiorca zobowiązuje się zastosować środki techniczne i organizacyjne mające na celu
należyte, odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, zabezpieczenie
powierzonych do przetwarzania danych osobowych, w szczególności zabezpieczyć je przed
udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem
z naruszeniem przepisów prawa, oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
3. Zleceniobiorca oświadcza, że zastosowane do przetwarzania powierzonych danych systemy
informatyczne spełniają wymogi aktualnie obowiązujących przepisów prawa.
4. Zleceniobiorca przetwarza dane osobowe wyłącznie na udokumentowane polecenie
administratora.
5. Podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga
administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku
odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw.
6. Podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje,
pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 rozporządzenia
Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób
fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich
danych (ogólne rozporządzenie o ochronie danych).
7. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie
od decyzji administratora danych usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie
ich istniejące kopie, chyba że szczególne przepisy prawa nakazują przechowywanie danych
osobowych.
8. Podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania
spełnienia obowiązków określonych w niniejszej umowie oraz umożliwia administratorowi lub
Ebook pobrany przez biuro@pawlas.eu
Jakie obowiązki będzie miał podmiot przetwarzający według unijnego
rozporządzenia o ochronie danych
8
audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i
przyczynia się do nich.
5. Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej
szczegółowej lub ogólnej pisemnej zgody Administratora danych.
§ 4
Odpowiedzialność Stron
1. Administrator danych ponosi odpowiedzialność za przestrzeganie przepisów prawa w zakresie
przetwarzania i ochrony danych osobowych według rozporządzenia Parlamentu Europejskiego i Rady
(UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem
danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy
95/46/WE (ogólne rozporządzenie o ochronie danych).
2. Powyższe nie wyłącza odpowiedzialności Zleceniobiorcy za przetwarzanie powierzonych danych
niezgodnie z umową.
3. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem, jeśli nie dopełnił
obowiązków, które nakłada niniejsza umowa, lub gdy działał poza zgodnymi z prawem instrukcjami
administratora lub wbrew tym instrukcjom.
§ 5
Postanowienia końcowe
1. Wszelkie zmiany niniejszej Umowy powinny być dokonane w formie pisemnej pod rygorem
nieważności.
Ebook pobrany przez biuro@pawlas.eu
Jakie obowiązki będzie miał podmiot przetwarzający według unijnego
rozporządzenia o ochronie danych
9
2. W zakresie nieuregulowanym niniejszą Umową zastosowanie mają przepisy Kodeksu cywilnego.
3. W przypadku gdy niniejsza Umowa odwołuje się do przepisów prawa, oznacza to również inne
przepisy dotyczące ochrony danych osobowych, a także wszelkie nowelizacje, jakie wejdą w życie po
dniu zawarcia Umowy, jak również akty prawne, które zastąpią wskazane ustawy i rozporządzenia.
4. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
5. Niniejsza umowa powierzenia przetwarzania danych obowiązuje na czas trwania umowy na
świadczenie przez Zleceniobiorcę na rzecz Zleceniodawcy usług z zakresu ……………….
………………………………..
…………………………..
Zleceniodawca
Zleceniobiorca
Ebook pobrany przez biuro@pawlas.eu
Jakie obowiązki będzie miał podmiot przetwarzający według unijnego
rozporządzenia o ochronie danych
10
Redaktor:
Wioleta Szczygielska
ISBN:
978-83-269-6798-6
E-book nr:
2HH0628
Wydawnictwo:
Wydawnictwo Wiedza i Praktyka sp. z o.o.
Adres:
03-918 Warszawa, ul. Łotewska 9a
Kontakt:
Telefon 22 518 29 29, faks 22 617 60 10, e-mail: cok@wip.pl
NIP:
526-19-92-256
Numer KRS:
0000098264 – Sąd Rejonowy dla m.st. Warszawy, Sąd Gospodarczy
XIII Wydział Gospodarczy Rejestrowy. Wysokość kapitału zakładowego:
200.000 zł
Copyright by:
Wydawnictwo Wiedza i Praktyka sp. z o.o. Warszawa 2017
Ebook pobrany przez biuro@pawlas.eu