Umowa PPDO Umowa PPDO – Powierzenia Przetwarzania Danych jest zawierana pomiędzy administratorem danych a podmiotem przetwarzającym te dane, który nazywany jest też procesorem.
Umowa PPDO – co zmieniło RODO
Ogólne rozporządzenie o ochronie danych osobowych (w skrócie RODO) – termin znany jest doskonale zarówno zwykłym użytkownikom, jak i wszystkim organizacjom.
Z dniem rozpoczęcia obowiązywania RODO, czyli 25 maja 2018 roku, podejście do przetwarzania danych osobowych wielu przedsiębiorstw – a zwłaszcza małych firm – uległo diametralnej zmianie. Wszyscy nauczyliśmy się, że prywatność w sieci i innych miejscach, gdzie przechowywane są dane, ma znaczenie. Coraz częściej słyszymy o prośbach o bycie zapomnianym, czy prośbach o usunięcie danych z któregoś z portali internetowych.
Natomiast w biznesie RODO ma jeszcze większe znaczenie, bo firmy zobowiązane są do tworzenia dokumentacji, prowadzenia rejestrów przetwarzania, pamiętania o klauzulach zgód i klauzulach informacyjnych. Dodatkowo dochodzi kwestia często pomijana, czyli umowa powierzenia przetwarzania danych osobowych, która jest szczególnie ważna, gdy mowa jest o przetwarzaniu danych na zewnątrz, zwłaszcza w scenariuszach outsourcingu usług.
Umowa PPDO – powierzenie i przetwarzanie danych
Jeśli korzystamy z pomocy informatyka spoza naszej organizacji i dajemy mu dostęp do systemów z danymi osobowymi i – na przykład – do naszej księgowości, należałoby zabezpieczyć się, ponieważ pracownik ten zaczyna przetwarzać dane, które zostały mu powierzone. Sam administrator danych – jako organizacja zatrudniająca kontraktora – powinien być świadomy, że takie dane powierza i odpowiada za nie. To samo tyczy się partnera przetwarzającego dane. W świetle prawa w takich przypadkach należy podpisać umowę o powierzeniu przetwarzania danych, co zostało dokładnie opisane w artykule 28 Ogólnego rozporządzenia o ochronie danych osobowych.
Umowa PPDO – Powierzenia Przetwarzania Danych jest zawierana pomiędzy administratorem danych a podmiotem przetwarzającym te dane, który nazywany jest też procesorem. Warto podkreślić, że sama umowa powierzenia może być sporządzona w wersji papierowej i podpisana przez obie strony, jak również możliwe jest elektroniczne zawarcie tego typu kontraktu, co realizuje wielu dużych dostawców i co zgodne jest z RODO. Dobrym przykładem jest firma Microsoft – kupujemy usługi chmurowe Office 365 lub Azure i decydujemy, w jakiej lokalizacji (w jakim centrum danych) nasze dane będą przechowywane. I to właśnie my – jako klient, który wykupił usługę w formie hostingu – jesteśmy właścicielem danych, a Microsoft jest tylko podmiotem przetwarzającym, czyli procesorem.
W umowie PPDDO konieczne jest zdefiniowanie paragrafów związanych z zakresem oraz celem przetwarzania danych, przy czym podmiot przetwarzający zobowiązany jest przetwarzać dane wyłącznie na polecenie administratora.
Jako przykład możemy podać tutaj usługi hostingu, przy których klient nabywa usługę kopii zapasowej swoich danych w ośrodku zdalnym usługodawcy. Zakresem takiej umowy powierzenia objęte będzie przechowywanie danych, możliwość przeglądania danych w kopii zapasowej, pobrania danych przez pracownika lub system odtwarzania danych czy też udostępnienie danych określonej grupie osób lub innym usługom w ramach rozwiązania kopii zapasowej. Celem takiej umowy powierzenia jest zapewnienie ciągłości działania kluczowej usługi biznesu i możliwość odzyskania danych z kopii zapasowej w momencie awarii systemów lub wymaganego odtworzenia z archiwum danych przez system lub pracownika.
Zawierając umowy o powierzeniu danych, często spotykamy się z sytuacją, kiedy wspomniany wyżej dostawca usługi kopii zapasowej w modelu hostingowym mógł również skorzystać w ramach swojego rozwiązania z serwerów lub usług dostarczonych przez kolejny podmiot w ramach chmury publicznej. Wtedy mowa o umowie (pod)powierzenia przetwarzania danych. W takiej sytuacji, zgodnie z przepisami RODO, administrator danych powinien wyrazić pisemną zgodę na przetwarzanie danych przez kolejne podmioty.
Artykuł 28 RODO dodatkowo w ramach umów powierzenia przetwarzania danych wymaga określenia obowiązków po stronie usługodawcy i administratora danych, celu i czasu przetwarzania danych oraz dokładnego określenia kategorii osób i zakresu danych, które są przetwarzane. I co szczególnie istotne – podmiot przetwarzający oświadcza, że dysponuje zasobami, doświadczeniem, wiedzą fachową i wykwalifikowanym personelem, które umożliwiają mu prawidłowe wykonanie Umowy powierzenia oraz zapewnia wdrożenie odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia.
Można więc podsumować, że wprowadzenie RODO istotnie wpłynęło na podejście do bezpieczeństwa danych i sposobu, jak i przez kogo te dane są przetwarzane – poprzez szczegółowe zdefiniowanie odpowiedzialności i obowiązków obu stron kontraktu.