Procedura powierzenia przetwarzania danych osobowych
- Prawo
dane
- Kategoria
instrukcja
- Instrukcja
Należy uważnie przeczytać cały szablon i zrozumieć jego cel. W nazwie dokumentu należy wpisać "Procedura powierzenia przetwarzania danych osobowych". Treść dokumentu jest już wypełniona i brzmi "Procedura powierzenia przetwarzania danych osobowych". W celu dokumentu należy określić, że ma on zapewnić zgodność z RODO, a konkretnie z art. 28, czyli z zasadami i warunkami przetwarzania danych osobowych. W sekcji "Odpowiedzialni za wykonanie" należy określić stanowiska odpowiedzialne za realizację procedury, np. Kierownicy komórek organizacyjnych i Inspektor Ochrony Danych, oraz ich szczegółowe obowiązki związane z powierzaniem i przyjmowaniem powierzenia przetwarzania danych. W postanowieniach szczegółowych, w punkcie I dotyczącym powierzenia przetwarzania danych, należy określić stanowiska odpowiedzialne za informowanie o zamiarze powierzenia danych (np. Kierownicy komórek organizacyjnych) oraz stanowisko, któremu należy przekazywać te informacje (np. IOD), a także okres wyprzedzenia z jakim należy to zrobić. Należy określić czynność poprzedzającą wybór podmiotu przetwarzającego, np. złożenie wniosku o wszczęcie postępowania. Należy wskazać czynność, jaką wykonuje IOD w odniesieniu do umowy powierzenia, np. parafuje. Należy określić dokument, w którym zawarte są informacje o umowach powierzenia, np. rejestr czynności przetwarzania lub ewidencja umów powierzenia. Należy wskazać jednostkę organizacyjną, od której IOD może żądać informacji o umowach, np. komórki organizacyjne. Należy określić dokument weryfikujący gwarancje ochrony danych dawane przez podmioty przetwarzające, np. ankiety. W punkcie 7 należy doprecyzować treść umowy powierzenia, uwzględniając cel przetwarzania, gwarancje podmiotu przetwarzającego, rodzaj i zakres danych, zasady kontroli, upoważnianie osób, zgłaszanie naruszeń oraz postępowanie z danymi po zakończeniu umowy. W punkcie 8 należy podać przykład umowy, w której powierzenie przetwarzania danych jest zadaniem drugorzędnym. W punkcie II dotyczącym przetwarzania w imieniu innych podmiotów, należy określić okres wyprzedzenia, z jakim należy informować IOD o planowanym przetwarzaniu danych w imieniu innych podmiotów. Należy wskazać czynność wykonywaną przez IOD w odniesieniu do umowy powierzenia, np. parafuje. Należy określić dokument, w którym zawarte są kategorie czynności powierzonych administratorowi, np. rejestr kategorii czynności lub ewidencja umów powierzenia danych. Należy określić dokument, którego treść musi być uzgodniona z IOD przed przekazaniem, np. ankiety bezpieczeństwa oraz czynność poprzedzającą to przekazanie.
- Dane
czynność, dokument, jednostka organizacyjna, okres, podmiot, przepisy, przykład, stanowisko
Procedura powierzenia przetwarzania danych osobowych ma na celu zapewnienie zgodności z obowiązującymi przepisami, takimi jak RODO. Dokument określa odpowiedzialność za wykonywanie procedur związanych z powierzeniem danych osobowych. W szczegółowych postanowieniach opisane są kroki dotyczące powierzenia przetwarzania oraz przepisane elementy umowy powierzenia danych.
[NAZWA DOKUMENTU]
[TREŚĆ DOKUMENTU]
CEL [DOKUMENTU]
Zapewnienie zgodności z [PRZEPISY], czyli ze wskazanymi w tym akcie prawnym zasadami i warunkami przetwarzania danych osobowych.
ODPOWIEDZIALNI ZA WYKONANIE [DOKUMENTU]
1. [STANOWISKO] – w przypadku:
a) zamiaru powierzenia przetwarzania danych osobowych – za wybór [PODMIOT] przetwarzającego spełniającego wymogi wskazane w [PRZEPISY] oraz zawarcie z tym [PODMIOT] umowy powierzenia,
b) zamiaru przyjęcia powierzenia przetwarzania danych osobowych w imieniu innego administratora – za zawarcie i realizację umowy w zakresie powierzenia przetwarzania danych.
2. [STANOWISKO] odpowiada za monitorowanie przestrzegania zasad powierzenia danych oraz przestrzegania postanowień umów powierzenia i przepisów o ochronie danych osobowych.
POSTANOWIENIA SZCZEGÓŁOWE [DOKUMENTU]
I. Powierzenie przetwarzania danych
1. [STANOWISKO] obowiązani są informować [STANOWISKO] z [OKRES] wyprzedzeniem o zamiarze powierzenia przetwarzania danych osobowych i przekazać mu niezbędne informacje w tym zakresie, tj. szczegółowy opis, na czym ma polegać przetwarzanie danych osobowych przez [PODMIOT] przetwarzający w celu uzgodnienia z [STANOWISKO] kryteriów wyboru [PODMIOT] przetwarzającego.
2. Konsultacje z [STANOWISKO], o których mowa w ust. 1, muszą odbyć się przed procedurą wyboru [PODMIOT], w szczególności przed [CZYNNOŚĆ].
3. Każda umowa, porozumienie lub aneks w sprawie powierzenia przetwarzania danych osobowych musi być zweryfikowana i [CZYNNOŚĆ] przez [STANOWISKO].
4. Informacje w zakresie umów lub porozumień ([OKRES] zawarcia, [PODMIOT]) w sprawie przetwarzania danych osobowych muszą zostać zawarte w [DOKUMENT], a jeśli nie jest prowadzony w [DOKUMENT].
5. [STANOWISKO] ma prawo do występowania do [JEDNOSTKA ORGANIZACYJNA] o przekazanie informacji na temat zawartych umów powierzenia oraz wymagać uzyskania od [PODMIOT] lub potencjalnych [PODMIOT] [DOKUMENT] weryfikujących dawane przez te [PODMIOT] gwarancje ochrony danych osobowych.
6. Brak przekazania przez [PODMIOT] lub potencjalnego [PODMIOT] [DOKUMENT], o której mowa w ust. 5 lub niespełnienie wymagań w zakresie ochrony danych stanowi podstawę do niezwłocznego zrezygnowania ze współpracy z takim [PODMIOT].
7. Umowa powierzenia przetwarzania danych osobowych powinna w szczególności zawierać:
a) cel przetwarzania danych;
b) oświadczenie [PODMIOT] przetwarzającego o zapewnieniu wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie powierzonych danych osobowych spełniało wymogi prawem przewidziane i chroniło prawa osób, których dane dotyczą;
c) rodzaj i zakres przekazanych danych;
d) informacje o zasadach dotyczących przeprowadzania kontroli w [PODMIOT] przetwarzających dane osobowe;
e) informacje o sposobie upoważniania osób, które będą przetwarzały powierzone dane osobowe;
f) informacje o sposobach zgłaszania naruszeń z zakresu ochrony danych osobowych;
g) informacje o sposobach postępowania z danymi osobowymi po zakończeniu realizacji umowy.
8. Jeżeli powierzenie przetwarzania danych jest zadaniem drugorzędnym w stosunku do umowy głównej, elementy wskazane w ust. 7 mogą być również ujęte w tej umowie (np. w przypadku umów o [PRZYKŁAD]). Przepis ust. 3 stosuje się do takiego powierzenia.
9. W jednostce został ustanowiony wzór umowy powierzenia danych, który powinien być przekazywany [PODMIOT]. Stosowanie wzorów [PODMIOT] powinno mieć charakter incydentalny i wymaga weryfikacji zgodnie z ust. 3.
II. Przetwarzanie w imieniu innych podmiotów
1. [STANOWISKO] mają obowiązek informowania [STANOWISKO] o planowanym przetwarzaniu danych osobowych w imieniu innych [PODMIOT] z [OKRES] wyprzedzeniem, aby umożliwić [STANOWISKO] zajęcie stanowiska w przedmiotowej kwestii.
2. Każda umowa lub porozumienie, lub aneks w sprawie powierzenia przetwarzania danych osobowych musi być [CZYNNOŚĆ] przez [STANOWISKO].
3. Kategorie czynności, które zostały administratorowi powierzone do przetwarzania, muszą zostać zawarte w [DOKUMENT], a jeśli rejestr nie jest prowadzony, w [DOKUMENT].
4. Jeżeli powierzenie danych wymaga wypełnienia [DOKUMENT], ich treść musi być uzgodniona z [STANOWISKO] przed [CZYNNOŚĆ].
Procedura powierzenia przetwarzania danych osobowych precyzyjnie określa zasady postępowania z danymi oraz obowiązki poszczególnych stanowisk. Dokument zawiera także informacje o powinnościach administratorów i koniecznościę uzgodnienia szczegółów z Inspektorem Ochrony Danych.