Ebook pobrany przez biuro@pawlas.eu

Jakie obowiązki będzie miał podmiot przetwarzający według unijnego

rozporządzenia o ochronie danych

1

Jeżeli przetwarzanie danych osobowych ma być dokonywane w imieniu administratora,

powinien on korzystać wyłącznie z usług takich podmiotów przetwarzających, które

zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i

organizacyjnych, by przetwarzanie spełniało wymogi ogólnego rozporządzenia o ochronie

danych (rodo) i chroniło prawa osób, których dane dotyczą.

Podmiot przetwarzający nie powinien korzystać z usług innego podmiotu przetwarzającego bez

uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej

zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach

dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym

administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

Podstawą przetwarzania danych osobowych przez podmiot przetwarzający powinna być umowa lub

inny instrument prawny, który podlega prawu Unii lub prawu państwa członkowskiego i wiąże

podmiot przetwarzający i administratora, określając przedmiot i czas trwania przetwarzania, charakter

i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i

prawa administratora. Ta umowa lub inny instrument prawny powinny określać, iż podmiot

przetwarzający:

a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co

dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji

międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo

państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku

przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym

obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na

ważny interes publiczny;

Ebook pobrany przez biuro@pawlas.eu

Jakie obowiązki będzie miał podmiot przetwarzający według unijnego

rozporządzenia o ochronie danych

2

b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do

zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi

zachowania tajemnicy;

c) podejmuje wszelkie środki wymagane na mocy art. 32 ogólnego rozporządzenia (stosuje

odpowiednie środki bezpieczeństwa danych osobowych po uwzględnieniu możliwego do

wystąpienia ryzyka);

d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których

mowa w art. 28 ust. 2 i 4 ogólnego rozporządzenia (nie korzysta z usług innego podmiotu

przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora i

na podmiot, z którego korzysta jako procesor, zostają nałożone te same obowiązki ochrony

danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem

przetwarzającym);

e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi

poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku

odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw

określonych w rozdziale III ogólnego rozporządzenia (prawo do sprostowania danych,

usunięcia danych, ograniczenia przetwarzania, przenoszenia danych);

f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga

administratorowi wywiązać się z obowiązków określonych w art. 32–36 ogólnego

rozporządzenia – zapewnienie bezpieczeństwa danych osobowych, zgłaszanie naruszenia

ochrony danych organowi nadzorczemu i zawiadamianie o tym osoby, której dane dotyczą,

prowadzenie oceny skutków dla ochrony danych, uprzednie konsultacje z organem

nadzorczym;

Ebook pobrany przez biuro@pawlas.eu

Jakie obowiązki będzie miał podmiot przetwarzający według unijnego

rozporządzenia o ochronie danych

3

g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji

administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich

istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują

przechowywanie danych osobowych;

h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia

obowiązków określonych powyżej oraz umożliwia administratorowi lub audytorowi

upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i

przyczynia się do nich. W związku z tym obowiązkiem podmiot przetwarzający niezwłocznie

informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie

ogólnego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o

ochronie danych.

Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot

przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot

przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu

Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym

akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach

mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia

odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom

niniejszego rozporządzenia. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających

na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie

obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie

przetwarzającym.

Wystarczające gwarancje, o których mowa powyżej , podmiot przetwarzający może wykazać między

innymi poprzez stosowanie zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu

certyfikacji.

Ebook pobrany przez biuro@pawlas.eu

Jakie obowiązki będzie miał podmiot przetwarzający według unijnego

rozporządzenia o ochronie danych

4

Bez uszczerbku dla indywidualnych umów między administratorem a podmiotem przetwarzającym,

umowa lub inny akt prawny, o których powyżej mogą się opierać w całości lub w części na

standardowych klauzulach umownych, o których mowa dalej także gdy są one elementem certyfikacji

udzielonej administratorowi lub podmiotowi przetwarzającemu.

Komisja Europejska może określić standardowe klauzule umowne dotyczące poruszanych kwestii

godnie z procedurą sprawdzającą. Organ nadzorczy może też przyjąć standardowe klauzule umowne

zgodnie z mechanizmem spójności, o którym mowa w art. 63 rozporządzenia. Umowa lub inny akt

prawny powinny mieć maję formę pisemną, w tym formę elektroniczną.

Jeżeli podmiot przetwarzający naruszy ogólne rozporządzenie przy określaniu celów i sposobów

przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania.

O umowie powierzenia generalnie powinien pamiętać administrator danych. Coraz częściej jednak to

już podmioty przetwarzające, zdające sobie sprawę z tych obowiązków, mają odpowiednie wzory

umów, wraz z zapisami lub załącznikami określającymi zasady powierzenia danych. Podnosi to jeszcze

bardziej wiarygodność i profesjonalizm tych podmiotów.

Administrator i podmiot przetwarzający mogą postanowić skorzystać z umowy indywidualnej lub ze

standardowych klauzul umownych, które zostały przyjęte bezpośrednio przez Komisję Europejską

albo które zostały przyjęte przez organ nadzorczy.

Ebook pobrany przez biuro@pawlas.eu

Jakie obowiązki będzie miał podmiot przetwarzający według unijnego

rozporządzenia o ochronie danych

5

Przykładowy wzór umowy powierzenia przetwarzania danych spełniający wymogi ogólnego

rozporządzenia o ochronie danych

Załącznik nr 1 do Umowy z dnia ………….

Umowa powierzenia przetwarzania danych osobowych zawarta w …………………………………. w dniu

................................. pomiędzy: XYZ sp. z o. o. ………………., zwaną dalej Zleceniodawcą lub

Administratorem danych (administratorem) a …………………………………………………, zwaną dalej

Zleceniobiorcą lub Podmiotem przetwarzającym, zwanymi każdą z osobna w dalszej części Umowy

„Stroną”, a łącznie „Stronami”.

Zważywszy, że:

- Zleceniobiorca będzie wykonywał odpłatne świadczenie na rzecz Zleceniodawcy usług z zakresu

……………………….,

- Zleceniobiorca w ramach usług będzie miał dostęp do danych osobowych ………………. Administratora

danych,

Strony niniejszym postanawiają zawrzeć Umowę powierzenia przetwarzania danych osobowych

(„Umowa”), o następującej treści:

§ 1

Oświadczenia Stron

1. Administrator danych powierza Zleceniobiorcy do przetwarzania dane osobowe, które zgromadził

zgodnie z obowiązującymi przepisami prawa i przetwarza w zbiorze danych o nazwie ………………..

Ebook pobrany przez biuro@pawlas.eu

Jakie obowiązki będzie miał podmiot przetwarzający według unijnego

rozporządzenia o ochronie danych

6

2. Zleceniobiorca oświadcza, że dysponuje środkami umożliwiającymi prawidłowe przetwarzanie

danych osobowych powierzonych przez Administratora danych, w zakresie i celu określonym Umową.

3. Zleceniobiorca oświadcza również, że osobom zatrudnionym przy przetwarzaniu powierzonych

danych osobowych nadane zostały upoważnienia do przetwarzania danych osobowych oraz że osoby

te zostały zapoznane z przepisami o ochronie danych osobowych oraz z odpowiedzialnością za ich

nieprzestrzeganie, zobowiązały się do ich przestrzegania oraz do bezterminowego zachowania w

tajemnicy przetwarzanych danych osobowych i sposobów ich zabezpieczenia.

§ 2

Cel, zakres, miejsce przetwarzania powierzonych danych osobowych

1. Administrator danych powierza Zleceniobiorcy przetwarzanie danych osobowych ………….

Administratora danych jedynie w celu prawidłowego wykonywania ……………….

2. Zleceniobiorca zobowiązuje się do przetwarzania powierzonych danych osobowych wyłącznie w

celach związanych z realizacją Umowy i wyłącznie w zakresie, jaki jest niezbędny do realizacji tych

celów.

3. Na wniosek Administratora danych lub osoby, której dane dotyczą Zleceniobiorca wskaże miejsca, w

których przetwarza powierzone dane.

§ 3

Zasady przetwarzania danych osobowych

1. Strony zobowiązują się wykonywać zobowiązania wynikające z niniejszej Umowy z najwyższą

starannością zawodową w celu zabezpieczenia prawnego, organizacyjnego i technicznego interesów

Stron w zakresie przetwarzania powierzonych danych osobowych.

Ebook pobrany przez biuro@pawlas.eu

Jakie obowiązki będzie miał podmiot przetwarzający według unijnego

rozporządzenia o ochronie danych

7

2. Zleceniobiorca zobowiązuje się zastosować środki techniczne i organizacyjne mające na celu

należyte, odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, zabezpieczenie

powierzonych do przetwarzania danych osobowych, w szczególności zabezpieczyć je przed

udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem

z naruszeniem przepisów prawa, oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

3. Zleceniobiorca oświadcza, że zastosowane do przetwarzania powierzonych danych systemy

informatyczne spełniają wymogi aktualnie obowiązujących przepisów prawa.

4. Zleceniobiorca przetwarza dane osobowe wyłącznie na udokumentowane polecenie

administratora.

5. Podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga

administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku

odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw.

6. Podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje,

pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 rozporządzenia

Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób

fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich

danych (ogólne rozporządzenie o ochronie danych).

7. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie

od decyzji administratora danych usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie

ich istniejące kopie, chyba że szczególne przepisy prawa nakazują przechowywanie danych

osobowych.

8. Podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania

spełnienia obowiązków określonych w niniejszej umowie oraz umożliwia administratorowi lub

Ebook pobrany przez biuro@pawlas.eu

Jakie obowiązki będzie miał podmiot przetwarzający według unijnego

rozporządzenia o ochronie danych

8

audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i

przyczynia się do nich.

5. Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej

szczegółowej lub ogólnej pisemnej zgody Administratora danych.

§ 4

Odpowiedzialność Stron

1. Administrator danych ponosi odpowiedzialność za przestrzeganie przepisów prawa w zakresie

przetwarzania i ochrony danych osobowych według rozporządzenia Parlamentu Europejskiego i Rady

(UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem

danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy

95/46/WE (ogólne rozporządzenie o ochronie danych).

2. Powyższe nie wyłącza odpowiedzialności Zleceniobiorcy za przetwarzanie powierzonych danych

niezgodnie z umową.

3. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem, jeśli nie dopełnił

obowiązków, które nakłada niniejsza umowa, lub gdy działał poza zgodnymi z prawem instrukcjami

administratora lub wbrew tym instrukcjom.

§ 5

Postanowienia końcowe

1. Wszelkie zmiany niniejszej Umowy powinny być dokonane w formie pisemnej pod rygorem

nieważności.

Ebook pobrany przez biuro@pawlas.eu

Jakie obowiązki będzie miał podmiot przetwarzający według unijnego

rozporządzenia o ochronie danych

9

2. W zakresie nieuregulowanym niniejszą Umową zastosowanie mają przepisy Kodeksu cywilnego.

3. W przypadku gdy niniejsza Umowa odwołuje się do przepisów prawa, oznacza to również inne

przepisy dotyczące ochrony danych osobowych, a także wszelkie nowelizacje, jakie wejdą w życie po

dniu zawarcia Umowy, jak również akty prawne, które zastąpią wskazane ustawy i rozporządzenia.

4. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.

5. Niniejsza umowa powierzenia przetwarzania danych obowiązuje na czas trwania umowy na

świadczenie przez Zleceniobiorcę na rzecz Zleceniodawcy usług z zakresu ……………….

………………………………..

…………………………..

Zleceniodawca

Zleceniobiorca

Ebook pobrany przez biuro@pawlas.eu

Jakie obowiązki będzie miał podmiot przetwarzający według unijnego

rozporządzenia o ochronie danych

10

Redaktor:

Wioleta Szczygielska

ISBN:

978-83-269-6798-6

E-book nr:

2HH0628

Wydawnictwo:

Wydawnictwo Wiedza i Praktyka sp. z o.o.

Adres:

03-918 Warszawa, ul. Łotewska 9a

Kontakt:

Telefon 22 518 29 29, faks 22 617 60 10, e-mail: cok@wip.pl

NIP:

526-19-92-256

Numer KRS:

0000098264 – Sąd Rejonowy dla m.st. Warszawy, Sąd Gospodarczy
XIII Wydział Gospodarczy Rejestrowy. Wysokość kapitału zakładowego:
200.000 zł

Copyright by:

Wydawnictwo Wiedza i Praktyka sp. z o.o. Warszawa 2017

Ebook pobrany przez biuro@pawlas.eu