Procedura inwentaryzacji umów powierzenia przetwarzania danych osobowych

PROCEDURA INWENTARYZACJI UMÓW POWIERZENIA PRZETWARZANIA

 

Rozdział IZagadnienia ogólne

1. Niniejsza procedura ma na celu wprowadzenie zasad inwentaryzacji umów powierzenia przetwarzania danych osobowych, które Wirtualna Polska S.A. zawarł z podmiotem zewnętrznym w celu realizacji usługi.

2. Przetwarzanie danych w imieniu Wirtualna Polska S.A. musi być zgodne z przepisami prawa dotyczącymi ochrony danych osobowych, w szczególności z art. 28 ust. 3 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych, Dz. Urz. UE L 119, s.1 z 4.5.2016), zwanego dalej RODO.

3. Powierzenie odbywa się na podstawie umowy lub innego instrumentu prawnego. Regulacje dotyczące powierzenia danych osobowy mogą być także zawarte bezpośrednio w umowie głównej.

4. Procedura na zastosowanie do:

1) umów powierzenia zawartych przed stosowaniem RODO tj. do dnia 24 maja 2018 r.

2) umów powierzenia zawartych po wejściu RODO (obowiązujących i zakończonych)

3) zakresu podmiotowej umowy powierzenia zgodnie z art. 28 ust. 3 RODO

4) zasadności zawierania umów powierzenia

5) aneksowania obowiązujących umów powierzenia pod kątem standardowych klauzul umownych.

5. Zadaniem niniejszej procedury jest określenie czy Wirtualna Polska S.A. decydując się na powierzenie przetwarzania danych osobowych dokonał wszelkiej staranności przy wyborze procesora. Przede wszystkim czy:

1) przeanalizował czy korzystając z usług procesora, podmiot ten zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających ochronę powierzonych danych

2) zaangażował Inspektora Ochrony Danych (dalej IOD) w proces powierzenia danych osobowych

3) określił w umowie powierzenia obowiązki podmiotu przetwarzającego zgodnie z art. 28 ust. 3 zd. 2 RODO.

4) gdy nie ma zastosowania zapis art. 28 ust. 3 lit. g RODO dokonał przeglądu obowiązku usunięcia lub zwrotu danych

6. Procedura ma ułatwić Wirtualna Polska S.A. wypełnienie jego obowiązków dotyczących zapewnienia bezpieczeństwa danych osobowych.

7. Wirtualna Polska S.A. odpowiada za kontrolę przetwarzania danych osobowych zgodnie z prawem. Oznacza to także kontrolę przetwarzania danych osobowych, które zostały powierzone procesorowi.

 

Rozdział IIMetody, częstotliwość i sposoby przeprowadzania inwentaryzacji

1. Inwentaryzację umów powierzenia przetwarzania przeprowadza się następującymi metodami:

1) ciągłą – polegającą sukcesywnym sprawdzaniu powierzenia przetwarzania w ramach realizacji privacy by design tak, aby na bieżąco można było je wpisać do Rejestru Czynności Przetwarzania, rejestru umów powierzenia,

2) okresową (pełną) – polegającą na przeprowadzeniu kontroli rzeczywistej umów powierzenia w dniu sprawdzania,

3) doraźną – przeprowadzaną w miarę potrzeb jednostki, np. w przypadku orzeczeń sądu, decyzji Zarządu Wirtualna Polska S.A.. W szczególności dotyczy to rozstrzygnięć ustalających status – administratora- podmiotu powierzającego, współadministratorów, incydentów/naruszeń u procesora mogących wpływać na bezpieczeństwo powierzonych danych osobowych, na polecenie Prezesa Zarządu

4) wyrywkową – polegającą na ustaleniu stanu rzeczywistego tylko w wybranych działach Wirtualna Polska S.A.- lub określonych czynności przetwarzania np. podczas audytu zgodności z RODO w wybranych działach, w przypadku braku konsultacji umowy powierzenia z IOD (kilkukrotne zgłaszanie przez kierowników działów umów powierzenia IOD po fakcie jej zawarcia)

2. W zależności o charakteru prowadzonej inwentaryzacji zaleca się przeprowadzić:

1) Co kwartał - inwentaryzację okresową;

2) W razie potrzeb - inwentaryzację doraźną oraz wyrywkową.

3. Inwentaryzację przeprowadza się w drodze weryfikacji, poprzez porównanie zawartych umów cywilnoprawnych, uchwał rad, zarządzeń lub innych instrumentów prawnych związanych z przekazaniem danych na zewnątrz z Rejestrem Czynności Przetwarzania oraz Rejestrem Umów Powierzenia.

4. Dokumentem wyjściowym do przeprowadzenia inwentaryzacji jest Rejestr Czynności Przetwarzania lub Rejestr Umów Powierzenia.

5. Rozliczenie różnic inwentaryzacyjnychZinwentaryzowane umowy powierzenia przetwarzania wpisuje się do:

1) Rejestru Czynności Przetwarzania;

2) Rejestru Umów Powierzenia lub Ewidencji Umów.

6. W przypadku stwierdzenia, że Jan Kowalski w sposób rażący nie przekazał informacji o zamiarze powierzenia przetwarzania danych w sytuacji, gdy w sposób oczywisty taka sytuacja miała miejsce Inspektor Ochrony Danych zgłasza to Prezesowi Zarządu lub Członkowi Zarządu, jeśli uzna, że zaniedbanie mogło narazić Wirtualna Polska S.A. na karę lub inną odpowiedzialność.

 

Rozdział IIIZespół inwentaryzacyjny – powołanie i obowiązki

1. Inwentaryzację przeprowadza Inspektor Ochrony Danych.

2. Na wiosek Inspektora Ochrony Danych, Prezes Zarządu przydziela pracowników, których wiedza i zakres merytoryczny jest niezbędny do przeprowadzenia inwentaryzacji, w szczególności Dyrektora Działu Prawnego, innego prawnika zajmującego się zawieraniem umów cywilnoprawnych, radcę prawnego przygotowującego projekty uchwał.

3. Zespół inwentaryzacyjny powołuje Prezes Zarządu na podstawie zarządzenia lub innej formy przyjętej w jednostce organizacyjnej.

4. Do obowiązków zespołu inwentaryzacyjnego należy:

1) Rzetelne i dokładne przeprowadzenie inwentaryzacji, zgodnie z zaleceniami, instrukcjami, rejestrami, planami kontroli wydanymi przez IOD,

2) Uzyskanie od kierowników działów informacji na temat zawartych umów cywilnoprawnych i zasadności zawarcia umów powierzenia lub innych instrumentów prawnych,

3) Przeprowadzenie oceny zasadności zawierania umów powierzenia,

4) Sprawdzenie czy w umowie lub innym instrumencie prawnym znajdują się elementy wymagane przez przepisy prawa,

5) Uzyskanie wyjaśnień od kierowników działów w przypadku nieprawidłowości zawierania lub braku zawarcia umowy powierzenia,

6) Uzyskanie wyjaśnień od kierowników działów w przypadku braku zgłoszenia umowy powierzenia do IOD lub zgłaszania umowy post factum,

7) Przygotowanie umów związanych z powierzeniem przetwarzania danych oraz przepływem finansowym,

8) Przygotowanie uchwał związanych z powierzeniem przetwarzania danych w związku z realizacją zadań ustawowych.

5. Obowiązkiem każdego pracownika jest współpraca z zespołem inwentaryzacyjnym poprzez składanie informacji, wyjaśnień, przedkładanie dokumentów.

 

Rozdział IVProtokół pokontrolny

1. Po przeprowadzonej kontroli IOD lub zespół przedstawia Prezesowi Zarządu protokół.

2. W przypadku stwierdzenia braków podpisanej umowy - IOD rekomenduje podpisanie umowy powierzenia przetwarzania lub przyjęcia innego instrumentu prawnego.

3. W przypadku stwierdzenia, że przekazana czynność nie stanowi powierzenia przetwarzania, a dokonano podpisania umowy - IOD wnosi o dostosowanie sytuacji przekazania do stanu prawnego. W takiej sytuacji informuje Prezesa Zarządu, że powierzenie przetwarzania nastąpiło bez jego wiedzy i zgody.

4. IOD dokonuje odpowiedniego wpisu do Rejestru Czynności Przetwarzania oraz Rejestru Umów Powierzenia.