Lista kontrolna RODO dla umowy powierzenia przetwarzania danych

Nazwa umowy: Umowa 2023/10/DP

Data 01.10.2023 - 31.12.2024

Lp. Wymogi RODO Przepis Czy Odniesienie Komentarz

RODO postanowienie do klauzuli w

umowne jest umowie

niezbędne?

Część A. Szczegóły dotyczące procesu przetwarzania zawarte w umowie

1. Przedmiot przetwarzania art. 28 ust. 3 Tak

2. Czas trwania przetwarzania art. 28 ust. 3 Tak

3. Charakter i cel przetwarzania art. 28 ust. 3 Tak

4. Rodzaj lub kategorie danych osobowych art. 28 ust. 3 Tak

5. Kategorie osób, których dane dotyczą art. 28 ust. 3 Nie

6. Obowiązki i prawa administratora art. 28 ust. 3 Tak

Część B. Wymogi nałożone na podmiot przetwarzający

1. Czy obowiązującym prawem umowy jest prawo art. 28 ust. 3

Unii lub państwa członkowskiego?

2. Wymóg przetwarzania danych osobowych tylko art. 28 ust. 3

na podstawie udokumentowanego polecenia lit. a

administratora.

3. Wymóg przekazywania danych osobowych poza art. 28 ust. 3

EOG jedynie na podstawie udokumentowanego lit. a

polecenia administratora.

4. Wymóg informowania administratora o art. 28 ust. 3

przypadkach, kiedy przetwarzanie danych lit. a

wymagane jest prawem Unii lub prawem państwa

członkowskiego, któremu podlega PP w zakresie

przetwarzania danych osobowych innych niż

zgodnie z udokumentowanym poleceniem

administratora, o ile prawo to nie zabrania

udzielania takiej informacji z uwagi na ważny

interes publiczny.

5. Wymóg zapewnienia, aby osoby upoważnione do art. 28 ust. 3

przetwarzania danych osobowych zobowiązały się lit. b

do zachowania tajemnicy lub podlegały

odpowiedniemu ustawowemu obowiązkowi

zachowania tajemnicy.

6. Wymóg podjęcia wszelkich środków na mocy art. art. 28 ust. 3

32 dotyczących bezpieczeństwa przetwarzania. lit. c

1. Wymóg wdrożenia odpowiednich środków art. 32 ust. 1 i

technicznych i organizacyjnych w celu 2

zapewnienia adekwatnego do ryzyka stopnia art. 32 ust. 1 i

bezpieczeństwa, w tym: 2

• pseudonimizacja i szyfrowanie danych

osobowych;

• zdolność do ciągłego zapewnienia poufności,

integralności, dostępności i odporności systemów

i usług przetwarzających dane osobowe;

• zdolność do szybkiego przywrócenia

dostępności danych osobowych i dostępu do nich

w razie incydentu fizycznego lub technicznego;

• regularne testowanie, mierzenie i ocenianie

skuteczności środków technicznych i

organizacyjnych mających zapewnić

bezpieczeństwo przetwarzania.

2. Określając bezpieczeństwo, PP powinien:

• uwzględnić aktualny stan wiedzy i koszty

wdrożenia;

o uwzględnić charakter, zakres, kontekst i cele

przetwarzania, a także ryzyko naruszenia praw lub

wolności osób fizycznych;

• ocenić ryzyko wiążące się z przetwarzaniem

danych, w szczególności związane z

przypadkowym lub niezgodnym z prawem

zniszczeniem, utratą, modyfikacją,

nieuprawnionym ujawnieniem lub

nieuprawnionym dostępem do danych osobowych

przesyłanych, przechowywanych lub w inny

sposób przetwarzanych.

7. Wymóg prowadzenia rejestru wszystkich kategorii art. 30 ust. 2

czynności przetwarzania danych w imieniu

administratora.

8. Wymóg wyznaczenia inspektora ochrony danych, art. 37

jeżeli jest to wymagane.

9. Wymóg wyznaczenia na piśmie przedstawiciela w art. 27

Unii, jeżeli jest to wymagane.

10. Wymóg zapewnienia, by każda osoba, która ma art. 29 i 32 ust.

dostęp do danych osobowych, przetwarzała je 4

wyłącznie na polecenie administratora, chyba że

wymaga tego prawo Unii lub państwa

członkowskiego.

11. Wymóg przestrzegania warunków określonych w art. 28 ust. 3

art. 28 w odniesieniu do innego PP, do których lit. d

należą:

o wymaganie, aby nie korzystać z usług innego PP

bez uprzedniej pisemnej zgody szczególnej lub

ogólnej administratora;

o wymóg korzystania tylko z takiego innego PP,

który zapewnia gwarancje wdrożenia

odpowiednich środków technicznych i

organizacyjnych zgodnie z RODO oraz ochroni

prawa osób, których dane dotyczą;

o wymóg posiadania umowy lub innego aktu

prawnego, który wiąże pierwotny PP z innym

podwykonawcą i który obejmuje wszystkie

wymogi zawarte w tej liście kontrolnej;

• potwierdzenie, że pierwotny PP ponosi pełną

odpowiedzialność za niewykonanie przez

podwykonawcę zobowiązań w zakresie ochrony

danych.

12. Wymóg wspomagania administratora za pomocą art. 28 ust. 3

odpowiednich środków technicznych i lit. e

organizacyjnych w wywiązywaniu się z

obowiązku odpowiadania na żądania osób,

których dane dotyczą, w tym: prawo do

informacji, dostępu i kopii danych, sprostowania,

prawo do usunięcia, prawo do ograniczenia

przetwarzania, prawo do przenoszenia danych,

prawo do sprzeciwu wobec przetwarzania danych,

prawo do niepodlegania zautomatyzowanemu

podejmowaniu decyzji, w tym profilowaniu.

13. Wymóg pomagania administratorowi w art. 28 ust. 3

wypełnianiu obowiązków określonych w lit. f

artykułach 32–36 RODO, które dotyczą:

•bezpieczeństwa (art. 32);

• powiadomienia bez zbędnej zwłoki (w czasie

krótszym niż 72 godziny) administratora o

stwierdzeniu naruszenia ochrony danych

osobowych (art. 33);

• oceny skutków dla ochrony danych (art. 35);

• uprzednich konsultacji z organem nadzorczym

(art. 36).

14. Wymóg, w zależności od decyzji administratora, art. 28 ust. 3

usunięcia lub zwrócenia mu wszystkich danych lit. g

osobowych (w tym kopii) po zakończeniu

świadczenia usług związanych z przetwarzaniem

danych.

15. Wymóg udostępnienia administratorowi art. 28 ust. 3

wszelkich niezbędnych informacji do wykazania lit. h

spełnienia obowiązków określonych w art. 28.

16. Wymóg umożliwienia przeprowadzania audytów, art. 28 ust. 3

w tym inspekcji, przez administratora lub lit. h

audytora upoważnionego przez niego.

17. Wymóg natychmiastowego poinformowania art. 28 ust. 3

administratora, jeżeli jego zdaniem wydane mu lit. h

polecenie stanowi naruszenie rozporządzenia lub

innych przepisów Unii lub państwa

członkowskiego o ochronie danych.

Część C. Wymogi dotyczące międzynarodowych transferów danych poza EOG

1. Czy przetwarzanie objęte umową wiąże się z art. 44–50

przekazywaniem danych osobowych poza EOG?

Jeżeli nie, to nie rób dalszej analizy.

2. Czy przetwarzanie odbywa się w Kanadzie, art. 45

który zapewnia odpowiedni poziom ochrony

danych osobowych, zgodnie z decyzją Komisji?

Według stanu na 20.10.2023 Komisja podjęła

decyzje dotyczące odpowiedniej adekwatności w

odniesieniu do Japonii, Korei Południowej, Nowej Zelandii

(organizacje komercyjne), Andory,

Argentyny, Wysp Owczych, Guernsey, Izraela, Wyspy Man,

Jersey, Szwajcarii, Urugwaju, Wielkiej Brytanii,

Wysp Świętej Heleny, Wniebowstąpienia i Tristan da Cunha.

Jeżeli tak, to nie rób dalszej analizy.

3. Jaki jest mechanizm prawny, w ramach którego art. 46

odbywa się przekazywanie i przetwarzanie danych

osobowych poza EOG?

• wiążące reguły korporacyjne (BCR);

• standardowe klauzule umowne między

administratorem a PP przyjęte przez Komisję;

• zatwierdzone kodeksy postępowania;

• zatwierdzone mechanizmy certyfikacji;

• inne (podać jakie: 2023/SCC/001).

Definicje:

Administrator – Firma "XYZ Sp. z o.o." z siedzibą w Warszawie, ul. Kwiatowa 1, 00-001 Warszawa

Podmiot przetwarzający (PP) – "ABC Data Processing" z siedzibą w Krakowie, ul. Słoneczna 2, 30-001 Kraków

Wskazówka: jeżeli PP ma wdrożone certyfikaty lub stosuje zatwierdzone kodeksy

postępowania, pomagają one podjąć administratorowi ostateczną decyzję dotyczącą

współpracy z PP.