Procedura powierzenia przetwarzania danych osobowych

Postępowanie w zakresie zawierania umów lub porozumień w sprawie powierzenia przetwarzania danych osobowych

CEL PROCEDURY

Zapewnienie zgodności z RODO (art. 28 RODO), czyli ze wskazanymi w tym akcie prawnym zasadami i warunkami przetwarzania danych osobowych.

ODPOWIEDZIALNI ZA WYKONANIE PROCEDURY

1. Kierownicy komórek organizacyjnych – w przypadku:

1) zamiaru powierzenia przetwarzania danych osobowych – za wybór firmy "CyberSafe Sp. z o.o." przetwarzającego spełniającego wymogi wskazane w art. 28 RODO oraz zawarcie z tym "CyberSafe Sp. z o.o." umowy powierzenia,

2) zamiaru przyjęcia powierzenia przetwarzania danych osobowych w imieniu innego administratora – za zawarcie i realizację umowy w zakresie powierzenia przetwarzania danych.

2. Inspektor ochrony danych odpowiada za monitorowanie przestrzegania zasad powierzenia danych oraz przestrzegania postanowień umów powierzenia i przepisów o ochronie danych osobowych.

POSTANOWIENIA SZCZEGÓŁOWE PROCEDURY

I. Powierzenie przetwarzania danych

1. Kierownicy komórek organizacyjnych obowiązani są informować IOD z dwutygodniowym wyprzedzeniem o zamiarze powierzenia przetwarzania danych osobowych i przekazać mu niezbędne informacje w tym zakresie, tj. szczegółowy opis, na czym ma polegać przetwarzanie danych osobowych przez firmę "CyberSafe Sp. z o.o." przetwarzający w celu uzgodnienia z IOD kryteriów wyboru firmy "CyberSafe Sp. z o.o." przetwarzającego.

2. Konsultacje z IOD, o których mowa w ust. 1, muszą odbyć się przed procedurą wyboru firmy, w szczególności przed złożeniem wniosku o wszczęcie postępowania na podstawie ZZ/IOD/2024/01.

3. Każda umowa, porozumienie lub aneks w sprawie powierzenia przetwarzania danych osobowych musi być zweryfikowana i parafowana przez IOD.

4. Informacje w zakresie umów lub porozumień (data zawarcia, "CyberSafe Sp. z o.o.") w sprawie przetwarzania danych osobowych muszą zostać zawarte w rejestrze czynności przetwarzania, a jeśli nie jest prowadzony w ewidencji umów powierzenia.

5. Inspektor danych osobowych ma prawo do występowania do komórek organizacyjnych o przekazanie informacji na temat zawartych umów powierzenia oraz wymagać uzyskania od firm "CyberSafe Sp. z o.o." lub potencjalnych firm "DataGuard Ltd." ankiet weryfikujących dawane przez te firmy gwarancje ochrony danych danych osobowych.

6. Brak przekazania przez firmę "CyberSafe Sp. z o.o." lub potencjalnego firmy "DataGuard Ltd." ankiety bezpieczeństwa, o której mowa w ust. 5 lub niespełnienie wymagań w zakresie ochrony danych stanowi podstawę do niezwłocznego zrezygnowania ze współpracy z takim firmą.

7. Umowa powierzenia przetwarzania danych osobowych powinna w szczególności zawierać:

1) cel przetwarzania danych;

2) oświadczenie firmy "CyberSafe Sp. z o.o." przetwarzającego o zapewnieniu wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie powierzonych danych osobowych spełniało wymogi prawem przewidziane i chroniło prawa osób, których dane dotyczą;

3) rodzaj i zakres przekazanych danych;

4) informacje o zasadach dotyczących przeprowadzania kontroli w firmach przetwarzających dane osobowe;

5) informacje o sposobie upoważniania osób, które będą przetwarzały powierzone dane osobowe;

6) informacje o sposobach zgłaszania naruszeń z zakresu ochrony danych osobowych;

7) informacje o sposobach postępowania z danymi osobowymi po zakończeniu realizacji umowy.

8. Jeżeli powierzenie przetwarzania danych jest zadaniem drugorzędnym w stosunku do umowy głównej, elementy wskazane w ust. 6 mogą być również ujęte w tej umowie (np. w przypadku umów o realizację szkoleń, ewaluacji itd.). Przepis ust. 3 stosuje się do takiego powierzenia.

9. W jednostce został ustanowiony wzór umowy powierzenia danych, który powinien być przekazywany firmom. Stosowanie wzorów firm powinno mieć charakter incydentalny i wymaga weryfikacji zgodnie z ust. 3.

II. Przetwarzanie w imieniu innych podmiotów

1. Kierownicy komórek organizacyjnych mają obowiązek informowania IOD o planowanym przetwarzaniu danych osobowych w imieniu innych firm z miesięcznym wyprzedzeniem, aby umożliwić IOD zajęcie stanowiska w przedmiotowej kwestii.

2. Każda umowa lub porozumienie, lub aneks w sprawie powierzenia przetwarzania danych osobowych musi być zaparafowany przez IOD.

3. Kategorie czynności, które zostały administratorowi powierzone do przetwarzania, muszą zostać zawarte w rejestrze kategorii czynności prowadzonym, a jeśli rejestr nie jest prowadzony, w ewidencji umów powierzenia danych.

4. Jeżeli powierzenie danych wymaga wypełnienia ankiet bezpieczeństwa, ich treść musi być uzgodniona z IOD przez przekazaniem zwrotnym.