Realizacja projektu IT, czy to w formie świadczenia usług programistycznych, wykonania i wdrożenia systemu czy też wsparcia technicznego na podstawie SLA, praktycznie we wszystkich przypadkach łączy się z dostępem do danych zebranych przez klienta. Klient chcąc współpracować z programistą czy software house’m musi dać mu dostęp do swojej infrastruktury czy też systemu. A taka operacja łączy się zazwyczaj z dostępem do danych w nich zebranych.
Powierzenie przetwarzania danych
W takim wypadku dochodzi do powierzenia przetwarzania danych osobowych. Czym jest powierzenie przetwarzania danych osobowych? W największym skrócie jest to przetwarzanie danych osobowych przez podmiot trzeci (czyli tzw. podmiot przetwarzający lub procesor) w imieniu administratora. Oznacza to, że przy powierzeniu przetwarzania danych osobowych procesor przetwarza dane administratora aby zrealizować jakiś konkretny cel administratora. W przypadku projektów IT jest właśnie realizacja tego projektu.
Do powierzenia danych osobowych dochodzi także np. gdy korzystasz z:
- usług hostingowych,
- systemu do wystawiania faktur,
- systemu typu CRM,
- zewnętrznej księgowości,
- systemu do wysyłki newslettera,
- podwykonawców, którzy prowadzą działalność gospodarczą.
Umowa powierzenia przetwarzania danych osobowych
Umowa powierzenia przetwarzania danych osobowych jest zazwyczaj oddzielnym dokumentem. Natomiast zawsze jest związana z tzw. umową główną tj. np. umową wdrożeniową, umową na świadczenie usług programistycznych czy też SLA. Bez tej głównej umowy nie może dojść do powierzenia przetwarzania danych. Powierzenie następuje zawsze w wyniku jakiejś wcześniejszej umowy. Znajduje to zresztą odzwierciedlenie w samej umowie powierzenia przetwarzania danych osobowych. Najczęściej dodaje się następujące postanowienie:
“W celu wykonania umowy nr XYZ , z dnia XYZ roku, zawartej pomiędzy Administratorem a Procesorem (dalej: Umowa Główna), Administrator powierza Procesorowi dane osobowe do przetwarzania w trybie art. 28 Rozporządzenia, na zasadach określonych w niniejszej Umowie.”
Umowa powierzenia przetwarzania danych – przydatne definicje z RODO
Zanim przejdziemy do samej struktury umowy powierzenia przetwarzania danych osobowych warto uporządkować sobie definicje administratora, procesora, przetwarzania danych i powierzenia danych, którymi posłużyłem się wyżej. Zgodnie z ogólnym rozporządzeniem o ochronie danych (tzw. RODO):
- administratorem jest osobę fizyczną lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;
- podmiotem przetwarzającym (procesorem) jest osobę fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora,
- przetwarzanie danych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie,
- powierzenie przetwarzania danych oznacza przetwarzanie danych przez podmiot przetwarzający (procesora) na wyraźne polecenie administratora aby zrealizować konkretny cel administratora.
W jakiej formie powinna być zawarta umowa powierzenia przetwarzania danych?
Umowa powierzenia może być zawarta zarówno w formie pisemnej jak i elektronicznej. Powinna zawierać takie elementy jak oznaczenie stron; cel, zakres i miejsce przetwarzania; zasady przetwarzania danych; informacje o możliwości podpowierzenia danych oraz informacje o odpowiedzialności. Procesor może przetwarzać dane tylko przez taki czas i w takim zakresie, na jaki mu pozwoli administrator.
Co musi zawierać umowa powierzenia?
Umowa powinna także stanowić w szczególności, że procesor:
- przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora,
- zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
- podejmuje wszelkie środki wymagane na mocy art. 32 RODO,
- biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw,
- uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO;
- po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie,
- udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
Potrzebujesz mojego wsparcia? Napisz do mnie!
Administratorem danych osobowych jest Linke Kulicki Education sp. z o.o. z siedzibą w Warszawie, ul. Ogrodowa 31 / lok. 54, 00-893 Warszawa, NIP 1182211564, KRS 0000852943 („Administrator”). Pana/Pani dane będą przetwarzane w celach marketingowych oraz w celu przekazywania Pani/Panu informacji handlowych drogą elektroniczną. Pana/Pani dane zostaną usunięte po odwołaniu zgody lub po zakończeniu prowadzenia działań marketingowych lub wysyłki informacji handlowych przez Administratora. Pana/Pani dane będą powierzane podmiotom trzecim na podstawie stosownych umów powierzenia przetwarzania danych osobowych w celu przechowywania danych osobowych na serwerze, skrzynce pocztowej oraz korzystania z usług wsparcia IT. Podstawą przetwarzania danych jest zgoda. W związku z przetwarzaniem danych osobowych ma Pan/Pani prawo do dostępu do swoich danych, sprostowania danych osobowych, usunięcia danych osobowych, wniesienia sprzeciwu, przenoszenia danych, ograniczenia przetwarzania, odwołania zgody, dostępu do informacji jakie dane Administrator przetwarza, złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Przedmiotowe uprawnienia można zrealizować poprzez kontakt z Administratorem na adres e-mail: biuro@linkekulicki.pl. Pani/Pana dane będą przekazywane poza UE oraz nie będą wykorzystywane do zautomatyzowanego podejmowania decyzji ani profilowania. Administrator potrzebuje Pana/Pani Danych Osobowych aby zrealizować wskazany cel przetwarzania, podanie danych osobowych jest dobrowolne jednak w przeciwnym wypadku podane cele nie będą mogły być zrealizowane.