Lista kontrolna RODO dla umowy powierzenia przetwarzania danych

Prawo

dane

Kategoria

analiza

Instrukcja

Należy rozpocząć od uzupełnienia nazwy umowy i jej sygnatury w pierwszym wierszu. Następnie należy wpisać datę lub okres obowiązywania umowy. W tabeli, dla każdego punktu, należy sprawdzić, czy dane postanowienie umowne jest niezbędne, zaznaczając "Tak" lub "Nie" w odpowiedniej kolumnie. Jeśli postanowienie jest niezbędne, należy wskazać odniesienie do klauzuli w umowie, która spełnia dany wymóg RODO. W kolumnie "Komentarz" można dodać dodatkowe uwagi lub wyjaśnienia. W Części A należy szczegółowo opisać proces przetwarzania danych, uwzględniając przedmiot, czas trwania, charakter i cel przetwarzania, rodzaj lub kategorie danych osobowych oraz kategorie osób, których dane dotyczą. W Części B należy zweryfikować, czy umowa spełnia wszystkie wymogi nałożone na podmiot przetwarzający. Należy zwrócić szczególną uwagę na wymagania dotyczące bezpieczeństwa przetwarzania danych. W Części C należy określić, czy przetwarzanie danych wiąże się z ich przekazywaniem poza Europejski Obszar Gospodarczy. Jeśli tak, należy wskazać lokalizację i mechanizm prawny, w ramach którego odbywa się przekazywanie danych. Na końcu dokumentu należy zdefiniować pojęcia "Administrator" i "Podmiot przetwarzający" zgodnie z treścią umowy. Należy pamiętać o uzupełnieniu listy lokalizacji, dla których Komisja Europejska wydała decyzję o odpowiednim poziomie ochrony danych osobowych. W przypadku korzystania z mechanizmu innego niż wymienione, należy go opisać w polu [SYGNATURA].

Dane

definicja, lista lokalizacji, lokalizacja, okres, sygnatura

Lista kontrolna RODO dla umowy powierzenia przetwarzania danych zawiera szczegółowe wymogi dotyczące procesu przetwarzania danych osobowych w ramach umowy. Określa m.in. przedmiot przetwarzania, czas trwania, charakter i cele przetwarzania oraz obowiązki administratora. Wymogi nałożone na podmiot przetwarzający obejmują m.in. zapewnienie odpowiednich środków bezpieczeństwa, prowadzenie rejestru czynności przetwarzania oraz wyznaczenie inspektora ochrony danych.

Nazwa umowy: Umowa [SYGNATURA]

Data [OKRES]

 

Lp. Wymogi RODO Przepis Czy Odniesienie Komentarz

                                                               RODO postanowienie do klauzuli w

                                                                umowne jest umowie

                                                                niezbędne?

Część A. Szczegóły dotyczące procesu przetwarzania zawarte w umowie

 1.   Przedmiot przetwarzania art. 28 ust. 3 Tak

 2.   Czas trwania przetwarzania art. 28 ust. 3 Tak

 3.   Charakter i cel przetwarzania art. 28 ust. 3 Tak

 4.   Rodzaj lub kategorie danych osobowych art. 28 ust. 3 Tak

 5.   Kategorie osób, których dane dotyczą art. 28 ust. 3 Nie

 6.   Obowiązki i prawa administratora art. 28 ust. 3 Tak

Część B. Wymogi nałożone na podmiot przetwarzający

 1.   Czy obowiązującym prawem umowy jest prawo art. 28 ust. 3

      Unii lub państwa członkowskiego?

 2.   Wymóg przetwarzania danych osobowych tylko art. 28 ust. 3

      na podstawie udokumentowanego polecenia lit. a

      administratora.

 3.   Wymóg przekazywania danych osobowych poza art. 28 ust. 3

      EOG jedynie na podstawie udokumentowanego lit. a

      polecenia administratora.

 4.   Wymóg informowania administratora o art. 28 ust. 3

      przypadkach, kiedy przetwarzanie danych lit. a

      wymagane jest prawem Unii lub prawem państwa

      członkowskiego, któremu podlega PP w zakresie

      przetwarzania danych osobowych innych niż

      zgodnie z udokumentowanym poleceniem

      administratora, o ile prawo to nie zabrania

      udzielania takiej informacji z uwagi na ważny

      interes publiczny.

 5.   Wymóg zapewnienia, aby osoby upoważnione do art. 28 ust. 3

      przetwarzania danych osobowych zobowiązały się lit. b

      do zachowania tajemnicy lub podlegały

      odpowiedniemu ustawowemu obowiązkowi

      zachowania tajemnicy.

 6.   Wymóg podjęcia wszelkich środków na mocy art. art. 28 ust. 3

      32 dotyczących bezpieczeństwa przetwarzania. lit. c

      1. Wymóg wdrożenia odpowiednich środków art. 32 ust. 1 i

         technicznych i organizacyjnych w celu 2

         zapewnienia adekwatnego do ryzyka stopnia art. 32 ust. 1 i

         bezpieczeństwa, w tym: 2

         • pseudonimizacja i szyfrowanie danych

           osobowych;

         • zdolność do ciągłego zapewnienia poufności,

           integralności, dostępności i odporności systemów

           i usług przetwarzających dane osobowe;

         • zdolność do szybkiego przywrócenia

           dostępności danych osobowych i dostępu do nich

           w razie incydentu fizycznego lub technicznego;

         • regularne testowanie, mierzenie i ocenianie

           skuteczności środków technicznych i

           organizacyjnych mających zapewnić

           bezpieczeństwo przetwarzania.

      2. Określając bezpieczeństwo, PP powinien:

         • uwzględnić aktualny stan wiedzy i koszty

           wdrożenia;

         • uwzględnić charakter, zakres, kontekst i cele

           przetwarzania, a także ryzyko naruszenia praw lub

           wolności osób fizycznych;

         • ocenić ryzyko wiążące się z przetwarzaniem

           danych, w szczególności związane z

           przypadkowym lub niezgodnym z prawem

           zniszczeniem, utratą, modyfikacją,

           nieuprawnionym ujawnieniem lub

           nieuprawnionym dostępem do danych osobowych

           przesyłanych, przechowywanych lub w inny

           sposób przetwarzanych.

 7.   Wymóg prowadzenia rejestru wszystkich kategorii art. 30 ust. 2

      czynności przetwarzania danych w imieniu

      administratora.

 8.   Wymóg wyznaczenia inspektora ochrony danych, art. 37

      jeżeli jest to wymagane.

 9.   Wymóg wyznaczenia na piśmie przedstawiciela w art. 27

      Unii, jeżeli jest to wymagane.

 10.  Wymóg zapewnienia, by każda osoba, która ma art. 29 i 32 ust.

      dostęp do danych osobowych, przetwarzała je 4

      wyłącznie na polecenie administratora, chyba że

      wymaga tego prawo Unii lub państwa

      członkowskiego.

 11.  Wymóg przestrzegania warunków określonych w art. 28 ust. 3

      art. 28 w odniesieniu do innego PP, do których lit. d

      należą:

      • wymaganie, aby nie korzystać z usług innego PP

        bez uprzedniej pisemnej zgody szczególnej lub

        ogólnej administratora;

      • wymóg korzystania tylko z takiego innego PP,

        który zapewnia gwarancje wdrożenia

        odpowiednich środków technicznych i

        organizacyjnych zgodnie z RODO oraz ochroni

        prawa osób, których dane dotyczą;

      • wymóg posiadania umowy lub innego aktu

        prawnego, który wiąże pierwotny PP z innym

        podwykonawcą i który obejmuje wszystkie

        wymogi zawarte w tej liście kontrolnej;

      • potwierdzenie, że pierwotny PP ponosi pełną

        odpowiedzialność za niewykonanie przez

        podwykonawcę zobowiązań w zakresie ochrony

        danych.

 12.  Wymóg wspomagania administratora za pomocą art. 28 ust. 3

      odpowiednich środków technicznych i lit. e

      organizacyjnych w wywiązywaniu się z

      obowiązku odpowiadania na żądania osób,

      których dane dotyczą, w tym: prawo do

      informacji, dostępu i kopii danych, sprostowania,

      prawo do usunięcia, prawo do ograniczenia

      przetwarzania, prawo do przenoszenia danych,

      prawo do sprzeciwu wobec przetwarzania danych,

      prawo do niepodlegania zautomatyzowanemu

      podejmowaniu decyzji, w tym profilowaniu.

 13.  Wymóg pomagania administratorowi w art. 28 ust. 3

      wypełnianiu obowiązków określonych w lit. f

      artykułach 32–36 RODO, które dotyczą:

      •bezpieczeństwa (art. 32);

      • powiadomienia bez zbędnej zwłoki (w czasie

        krótszym niż 72 godziny) administratora o

        stwierdzeniu naruszenia ochrony danych

        osobowych (art. 33);

      • oceny skutków dla ochrony danych (art. 35);

      • uprzednich konsultacji z organem nadzorczym

        (art. 36).

 14. Wymóg, w zależności od decyzji administratora, art. 28 ust. 3

      usunięcia lub zwrócenia mu wszystkich danych lit. g

      osobowych (w tym kopii) po zakończeniu

      świadczenia usług związanych z przetwarzaniem

      danych.

 15. Wymóg udostępnienia administratorowi art. 28 ust. 3

      wszelkich niezbędnych informacji do wykazania lit. h

      spełnienia obowiązków określonych w art. 28.

 16. Wymóg umożliwienia przeprowadzania audytów, art. 28 ust. 3

      w tym inspekcji, przez administratora lub lit. h

      audytora upoważnionego przez niego.

 17. Wymóg natychmiastowego poinformowania art. 28 ust. 3

      administratora, jeżeli jego zdaniem wydane mu lit. h

      polecenie stanowi naruszenie rozporządzenia lub

      innych przepisów Unii lub państwa

      członkowskiego o ochronie danych.

Część C. Wymogi dotyczące międzynarodowych transferów danych poza EOG

 1.   Czy przetwarzanie objęte umową wiąże się z art. 44–50

      przekazywaniem danych osobowych poza EOG?

      Jeżeli nie, to nie rób dalszej analizy.

 2.   Czy przetwarzanie odbywa się w [LOKALIZACJA], art. 45

      który zapewnia odpowiedni poziom ochrony

      danych osobowych, zgodnie z decyzją Komisji?

      Według stanu na [OKRES] Komisja podjęła

      decyzje dotyczące odpowiedniej adekwatności w

      odniesieniu do [LISTA LOKALIZACJI].

      Jeżeli tak, to nie rób dalszej analizy.

 3.   Jaki jest mechanizm prawny, w ramach którego art. 46

      odbywa się przekazywanie i przetwarzanie danych

      osobowych poza EOG?

      • wiążące reguły korporacyjne (BCR);

      • standardowe klauzule umowne między

         administratorem a PP przyjęte przez Komisję;

      • zatwierdzone kodeksy postępowania;

      • zatwierdzone mechanizmy certyfikacji;

      • inne (podać jakie: [SYGNATURA]).

 

 Definicje:

 

 Administrator – [DEFINICJA]

 

 Podmiot przetwarzający (PP) – [DEFINICJA]

 

 

 Wskazówka: jeżeli PP ma wdrożone certyfikaty lub stosuje zatwierdzone kodeksy

 postępowania, pomagają one podjąć administratorowi ostateczną decyzję dotyczącą

 współpracy z PP.

Lista kontrolna RODO dla umowy powierzenia przetwarzania danych to kompleksowy dokument określający wymagania dotyczące przetwarzania danych osobowych w umowach powierzenia. Zapewniając zgodność z RODO, umożliwiają transparentną i bezpieczną wymianę danych osobowych pomiędzy stronami umowy.