Jak przygotować się do GDPR na przykładzie umów powierzenia

Unijne Rozporządzenie o Ochronie Danych Osobowych (GDPR) wejdzie w życie 25 maja 2018 r. Niby jest jeszcze trochę czasu. Jeśli jednak spojrzymy przez pryzmat naszej organizacji i ilości zmian, jakie trzeba przeprowadzić, to warto już teraz przygotować się do wdrożenia nowej regulacji. Jak to zrobić? Etapami!

Etap 1: Podziel procesy

Najważniejszym elementem jest rewizja wszystkich procesów, które mamy w organizacji, a które wiążą się z przetwarzaniem danych osobowych. Należy je poukładać tak, aby następnie ustalić co w nich trzeba zmienić, co można zmienić, a co zostaje bez zmian. Jednym z takich procesów od strony formalno-prawnej są umowy powierzenia przetwarzania danych osobowych partnerom, np. firmom oferującym usługi cloud computing lub hostingu. W świetle obecnie obowiązujących przepisów umowę powierzenia należy podpisywać na piśmie z każdym podmiotem, któremu powierzamy do przetwarzania dane osobowe.

Etap 2: Ustal rozmiar zmian

Na przykładzie umów powierzenia ustal, jakie umowy powierzenia obowiązują w Twojej organizacji. Co jest przedmiotem powierzenia. Chodzi o wrażliwość relacji z procesorem, czyli podmiotem przyjmującym dane w powierzenie. A także z kim i na jaki okres Twoja firma ma podpisaną tego typu umowę.  Następnie sprawdź, z jakimi podmiotami będziesz w najbliższym czasie podpisywać umowy. Jakiego rodzaju będą to powierzenia i na jaki okres.  Niezbędna jest tutaj współpraca z prawnikami, działem IT, a niekiedy nawet z działem zakupowym.

Zróżnicowanie umów pozwoli Ci ustalić, czy któreś z umów wygasną przed 25 maja 2018 r. Dotyczy to przypadków czasowego powierzenia przetwarzania danych. W związku z tym nie ma potrzeby ich zmieniać. Pozostałe należy już teraz zacząć dostosowywać i przygotować się do płynnego aneksowania. Umów może być od kilku do kilkudziesięciu, a nawet kilkuset. Jeśli więc zaczniesz już teraz, będziesz mieć spokojniejszą i przyjemniejszą pracę. Pamiętaj, że aneksowanie umów zajmuje czas, bo wymaga akceptacji działu prawnego drugiej strony. To zaś może zająć nawet kilka miesięcy.

Etap 3: Znajdź rozwiązanie

Do 25 maja 2018 r. przetwarzanie przez podmiot przetwarzający musi zostać uregulowane w drodze pisemnej umowy. Jednak po tym terminie będzie można zawrzeć tego typu umowę drogą elektroniczną. Jest to istotna zmiana, która umożliwia wielu podmiotom, mającym problem z podpisaniem umowy w formie papierowej, zawarcie ważnego kontraktu za pomocą kliknięcia tzw. checkboxa akceptującego treść umowy.

Elementy stałe, które będą musiały znaleźć się w umowie powierzenia, nakładają więcej obowiązków po stronie procesora niż administratora danych w naszej organizacji. Dokładnie są to zobowiązania do:

• a)    Przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej. Wyjątkiem jest sytuacja, gdy obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji ze względu na ważny interes publiczny.
• b)    Zapewnienia, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
• c)    Podjęcia wszelkich środków wymaganych do bezpieczeństwa przetwarzania.
• d)   Przestrzegania warunków korzystania z dalszego powierzenia.
• e)    Biorąc pod uwagę charakter przetwarzania, w miarę możliwości udzielenia pomocy administratorowi – poprzez odpowiednie środki techniczne i organizacyjne – w wywiązaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw (np. cofnięcie zgody).
• f)     Uwzględniając charakter przetwarzania oraz dostępne informacje dla procesora, pomocy w wywiązaniu się administratorowi z obowiązków bezpieczeństwa przetwarzania danych oraz oceny skutków dla ochrony danych i uprzednich konsultacji.
• g)    Po zakończeniu świadczenia usług związanych z przetwarzaniem – zależnie od decyzji administratora danych – usunięcia albo zwrócenia mu zarówno wszelkich danych osobowych, jak i usunięcia wszelkich kopii. Chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
• h)    Udostępnienia administratorowi danych wszelkich informacji niezbędnych do wykazania spełnienia obowiązków nałożonych na przetwarzającego oraz umożliwienia administratorowi – lub audytorowi upoważnionemu przez administratora – przeprowadzenia audytów, w tym inspekcji. Procesor może odmówić, jeżeli uzna, że wydane mu polecenie stanowi naruszenie rozporządzenia lub innych przepisów Unii Europejskiej lub państwa członkowskiego o ochronie danych. W takiej sytuacji zobowiązany jest przekazać stosowną informację. Umowa powinna regulować tę procedurę.

Umowa powierzenia powinna regulować oczywiście także pozostałe kwestie, np. w kontekście wynagrodzenia, odpowiedzialności, komunikacji, trybu rozwiązania sporów, zakresu i celu przetwarzania, określenia sposobu przetwarzania i innych, bardziej szczegółowych zagadnień, w zależności od charakteru powierzonych do przetwarzania danych. Dotyczy to np. zakresu listy upoważnionych osób do przetwarzania.

Jeżeli temat Rozporządzenia o Ochronie Danych Osobowych RODO (GDPR) interesuje Cię, to zapraszam do skorzystania z Pomocnika RODO. Możesz także pomyśleć o organizacji szkolenia w firmie, gdzie kierownicy działów – wraz z Tobą – dowiedzą się: Co zmienia GDPR i jak się do tego rozporządzenia przygotować? Więcej informacji: https://pomocnikrodo.pl