Zgłoszenie naruszenia danych osobowych - procedura 72h
czytaj więcej
Współpracujesz z biurem rachunkowym, trzymasz stronę na cudzym hostingu, wysyłasz newslettery przez zewnętrzne narzędzie? Za każdym razem, gdy ktoś przetwarza dane Twoich klientów lub pracowników w Twoim imieniu, potrzebujesz umowy powierzenia przetwarzania danych. Bez niej odpowiadasz za cudze błędy i narażasz firmę na karę - także wtedy, gdy sam niczego nie zawaliłeś. Wyjaśniam, kiedy taka umowa jest obowiązkowa, co musi zawierać i jak nie dać się złapać na darmowym wzorze z internetu.
Kiedy potrzebujesz umowy powierzenia
Kluczowa jest relacja: administrator (to Ty - decydujesz po co i jak przetwarzasz dane) i podmiot przetwarzający, czyli procesor (robi to na Twoje zlecenie i według Twoich instrukcji). Umowę powierzenia danych osobowych zawierasz zawsze wtedy, gdy inny podmiot dotyka danych, za które to Ty odpowiadasz.
W praktyce dotyczy to niemal każdej firmy działającej online. Typowi procesorzy to:
- Biuro rachunkowe - przetwarza dane Twoich pracowników i kontrahentów, prowadząc księgowość i kadry.
- Hostingodawca - na jego serwerach leżą dane ze strony, sklepu i skrzynek mailowych.
- Narzędzie do newslettera - przechowuje bazę adresów e-mail Twoich subskrybentów.
- Agencja marketingowa - obsługuje kampanie i ma wgląd w dane klientów.
- Firma IT - serwisuje systemy, w których znajdują się dane osobowe.
Ważny wyjątek: jeśli druga strona sama decyduje o celach i sposobach przetwarzania (np. bank, kurier, urząd), to nie jest procesor, tylko odrębny administrator - i umowa powierzenia jej nie dotyczy.
Co musi zawierać umowa powierzenia przetwarzania danych
Treść umowy reguluje art. 28 RODO. To nie jest dowolny szablon - umowa, w której brakuje wymaganych elementów, jest wadliwa, nawet jeśli obie strony ją podpiszą. Obowiązkowo musi określać:
- Przedmiot i czas przetwarzania.
- Charakter i cel przetwarzania.
- Rodzaj danych osobowych (dane zwykłe czy szczególnej kategorii, np. dane o zdrowiu).
- Kategorie osób, których dane dotyczą (pracownicy, klienci, subskrybenci).
- Obowiązki i prawa administratora, czyli Twoje uprawnienia wobec procesora.
Poza tym procesor musi zobowiązać się do konkretnych rzeczy:
- przetwarzania danych wyłącznie na Twoje udokumentowane polecenie,
- zapewnienia poufności przez osoby dopuszczone do danych,
- wdrożenia odpowiednich środków bezpieczeństwa,
- korzystania z podpowierzenia (dalszych podwykonawców) tylko za Twoją zgodą,
- pomocy przy realizacji praw osób i przy zgłaszaniu naruszeń,
- poddania się audytom i kontrolom z Twojej strony,
- usunięcia lub zwrotu danych po zakończeniu współpracy.
Brak choćby jednego z tych punktów oznacza, że umowa nie spełnia wymogów RODO - a to już podstawa do zarzutu przy kontroli.
Czym grozi brak umowy albo zły wzór
Powierzenie danych bez umowy to nie formalność, którą można odłożyć na później. Realne ryzyka to:
- Kara finansowa - brak wymaganej umowy powierzenia jest naruszeniem samym w sobie, niezależnie od tego, czy doszło do wycieku.
- Odpowiedzialność za cudzy incydent - gdy dane wyciekną u procesora, a Ty nie masz umowy regulującej jego obowiązki, to Ty jako administrator odpowiadasz przed osobami i przed urzędem.
- Pozorna ochrona z darmowego wzoru - gotowce z sieci zwykle są ogólne, nieaktualne i nie opisują Twojej faktycznej sytuacji (rodzaju danych, zakresu, podpowierzenia). Podpisany, ale wadliwy dokument daje złudne poczucie bezpieczeństwa.
Jak zrobić to dobrze
Zacznij od inwentaryzacji: wypisz wszystkich, którzy dotykają danych Twoich klientów i pracowników. Przy każdym ustal, czy to procesor, czy odrębny administrator. Dla procesorów przygotuj umowę dopasowaną do realnego zakresu współpracy - a nie skopiowaną między firmami o zupełnie innym profilu. Umowa powierzenia to jeden z filarów dokumentacji RODO, więc powinna być spójna z rejestrem czynności i pozostałymi dokumentami. Jeśli przetwarzasz dane na dużą skalę lub dane wrażliwe, warto rozważyć wsparcie Inspektora Ochrony Danych (IOD), który utrzyma to w porządku na bieżąco.
Potrzebujesz umowy powierzenia? Pomogę
Przygotowuję i dopasowuję umowy powierzenia przetwarzania danych do konkretnej firmy - Twoich dostawców, rodzaju danych i sposobu pracy. Sprawdzę też umowy, które już masz, i wskażę, czego w nich brakuje wobec art. 28 RODO. Mogę zająć się całą dokumentacją RODO albo prowadzić stałą opiekę jako IOD, żebyś nie musiał śledzić tego samodzielnie. Napisz do mnie - ustalimy, czego naprawdę potrzebuje Twoja firma.

