🍪 Można ciasteczko?

Ta strona chce wykorzystywać pliki cookie do analizowania ruchu oraz mierzenia skuteczności i personalizacji reklam zgodnie z polityką prywatności. Zgadzasz się?

PORADNIKI

16 min. czytania

Umowa powierzenia przetwarzania danych osobowych: wzór i omówienie

Umowa

Fot. Storyset

Mateusz Mazurek

Mateusz Mazurek

Przedsiębiorca internetowy. Wydawca i autor blogów. Od ponad 18 lat wymagający klient dziesiątek różnych firm hostingowych.

O mnie Kontakt

Wzór i omówienie umowy powierzenia przetwarzania danych osobowych zgodnej z RODO do podpisania z hostingiem i nie tylko. Ściągnij PDF.

Spis treści
Serwer

Jak wygląda umowa powierzenia przetwarzania danych osobowych innemu podmiotowi? Poznaj jej wzór, wraz z omówieniem w odniesieniu do RODO na hostingach i stronach internetowych.

Powierzenie przetwarzania danych osobowych przez osoby trzecie jest możliwe wyłącznie na udokumentowane polecenie administratora tych informacji. Jest to standard w zakresie ochrony danych osobowych użytkowników, praktykowany przez strony internetowe korzystające z hostingów. Związany jest bezpośrednio z RODO, którego przestrzegać musi każdy właściciel witryny internetowej i nie tylko.

Użytkownicy poszukujący hostingu powinni upewnić się, że działa on zgodnie z RODO. Podmiot przetwarzający dane klientów (np. internautów) może przekazać je innemu podmiotowi na podstawie umowy powierzenia przetwarzania danych osobowych. Z tego artykułu dowiesz się, jak wygląda wzór takiego dokumentu i co powinien zawierać. Znajdziesz też omówienie jego poszczególnych aspektów i ich wyjaśnienie w kontekście hostingów oraz witryn internetowych. Dzięki temu poznasz obowiązki i prawa administratora. Dowiesz się ponadto, jak przekazywać Ci powierzone dane zgodnie z przepisami.

Nie masz czasu czytać i szukasz wzoru umowy do pobrania w PDF? Kliknij tutaj i pobierz.

Strony internetowe i hostingi a RODO

Pod pojęciem RODO kryje się rozporządzenie regulujące zasady przetwarzania danych osobowych. Dotyczy wszystkich firm funkcjonujących na terenie Unii Europejskiej. Zgodnie z nim obowiązkiem administratora danych jest dbanie o ich bezpieczeństwo, odpowiednie przechowywanie i ochronę. Co natomiast istotne, obejmuje to nie tylko dane pracowników, ale też klientów, czy – w przypadku internetu – użytkowników internetowych (internautów).

Jak dość łatwo się domyślić, w przypadku internetu takie dane dotyczą nie tylko typowych informacji osobowych, jak np. imię i nazwisko. Obejmują również inne charakterystyczne aspekty, np. adresy e-mail. Przechowywane mogą być na serwerach i w bazach serwisów.

W przypadku witryn korzystających z hostingów to one – w imieniu administratora – zajmują się ich odpowiednim przechowywaniem. Niezbędne jest zatem w takiej sytuacji prawidłowe uregulowanie tego zgodnie z przepisami. Dzięki temu wszelkie informacje mogą być nadal właściwie chronione i dobrze zarządzane.

Warto wyjaśnić ponadto, jaki rodzaj danych osobowych jest objęty RODO i co należy rozumieć przez ich przetwarzanie. Mowa tu o wszelkich informacjach, które mogą przyczynić się do zidentyfikowania konkretnej osoby. Nie jest to zatem wyłącznie imię i nazwisko (bo wtedy osób, których dane dotyczą, może być wiele). Ważne są również inne dane, zawężające „krąg podejrzanych” (np. wspomniany wcześniej adres e-mail). Przepisy RODO pod pojęciem „przetwarzania” rozumieją z kolei wszelkie czynności związanie z zarządzaniem, jak np.:

  • rejestrowanie,
  • zbieranie,
  • adaptację,
  • przechowywanie,
  • modyfikację,
  • i inne.

Więcej informacji związanych z przepisami RODO i ich znaczeniem dla stron WWW i hostingów znajdziesz w moim artykule: Hosting zgodny z RODO: jak wybrać? Na co uważać?.

Kiedy strona przetwarza dane osobowe użytkowników?

Zastanawiasz się, czy powinieneś podejmować kroki w zakresie ochrony danych osobowych? A może nie wiesz, czy w ogóle jesteś podmiotem przetwarzającym takie informacje? Odpowiedzi na te pytania wbrew pozorom nie są aż tak oczywiste, jak mogłoby się wydawać.

Wszystko zależy od tego, w jaki sposób działa Twoja witryna. To ma bezpośredni wpływ na to, czy do powierzenia danych w ogóle dochodzi. Najczęściej proces ten zachodzi przy okazji wykonywania przez internautów rozmaitych integracji ze stroną WWW, jak np.:

  • rejestracji – zwykle wymaga podania danych użytkownika. Przy okazji rejestracji internauta musi więc zapoznać się z polityką prywatności. Konieczne jest ponadto wyrażenie zgody na przetwarzanie danych;
  • korzystania z formularzy osobowych/kontaktowych – zwykle wymaga pozostawienia przez użytkownika określonych danych (np. kontaktowych). Konieczne jest zatem również wyrażenie zgody na przetwarzanie tych informacji (niezbędne, by np. administrator mógł odpisać na wiadomość zawartą w formularzu);
  • składania zamówień – praktycznie zawsze zgoda na przetwarzanie danych jest niezbędna do realizacji zamówienia;
  • modułu komentarzy – najczęściej napisanie komentarza wiąże się z podaniem adresu e-mail (który jest daną osobową) lub innych danych (np. imienia i nazwiska).

Jeśli internauci zostawiają na Twojej stronie internetowej informacje na swój temat (np. adresowe, kontaktowe czy osobiste), możesz być określany jako podmiot przetwarzający dane. W takiej sytuacji – zakładając korzystanie przez Ciebie z hostingu – może zatem zaistnieć konieczność zawarcia umowy powierzenia przetwarzania danych osobowych przez podmiot zewnętrzny (hosting).

Kto i komu może powierzyć przetwarzanie danych?

Umowa powierzenia przetwarzania danych jest umową cywilnoprawną. W praktyce oznacza to, że nie regulują jej odrębne przepisy kodeksu cywilnego. Co natomiast istotne, zostaje zawarta między dwiema stronami:

  • administratorem danych osobowych – jest to podmiot/osoba decydująca o środkach i celach przetwarzania danych (np. właściciel serwisu internetowego);
  • podmiotem przetwarzającym dane na zlecenie administratora – inny podmiot, który spełnia wymagania RODO. Musi on być w stanie zadbać o bezpieczeństwo powierzonych danych, ich przechowywanie i przetwarzanie. Ponadto wskazane jest, by spełniał przesłanki rozporządzenia MSWiA odnoszące się do warunków organizacyjnych i technicznych, którym powinny odpowiadać systemy informatyczne i urządzenia wykorzystywane do tego celu (np. serwis hostingowy).

Zgodnie z obowiązującymi przepisami umowę powierzenia przetwarzania danych można zawrzeć w formie dowolnej. Mimo to najbezpieczniejsza i polecana jest umowa pisemna (np. na wypadek ewentualnego postępowania dowodowego).

Kiedy powinna zostać zawarta umowa powierzenia?

Decyzja o ewentualnym podpisaniu umowy powierzenia zależy od administratora danych. Musi być natomiast zgodna z obowiązującymi przepisami. Jeśli masz więc swoje miejsce w sieci, w pierwszej kolejności zorientuj się, czy ciąży na Tobie taka konieczność. Żaden organ publiczny bowiem nie odpowiada za wskazywanie tego obowiązku w przypadku stron internetowych.

Umowa powierzenia jest niezbędna w sytuacji, gdy podmiot pełniący rolę administratora danych zamierza powierzyć realizację swoich zadań podmiotowi zewnętrznemu. W praktyce więc jest to sytuacja, gdy ktoś (np. użytkownicy Twojego serwisu) powierzyli Ci wykonywanie usługi (np. przetwarzania danych kontaktowych), a Ty musisz (lub chcesz), by wspomógł Cię w tym inny podmiot (przetwarzał dane kontaktowe Twoich użytkowników zamiast Ciebie).

Kiedy taka forma „pomocy” administratorowi może okazać się niezbędna? Oczywistym przykładem jest witryna gromadząca dane użytkowników i przechowująca je na serwerach firmy hostingowej (podmiotu trzeciego). W takim przypadku na administratorze danych ciąży powierzenie przetwarzania danych osobowych hostingodawcy. Dzieje się tak, bo to właśnie do tego ostatniego trafiają informacje o użytkownikach strony WWW. On ponadto nimi zarządza w imieniu właściciela strony WWW).

Kiedy podmiot przetwarzający dane nie musi zawierać umowy powierzenia?

Podmiot przetwarzający dane osobowe użytkowników nie musi zawierać umowy powierzenia zawsze. Oczywiście nie jest to konieczne, gdy Twoja strona internetowa nie pobiera żadnych informacji od internautów. W takiej sytuacji nawet nie posiadasz informacji, które by podlegały powierzeniu. Drugim oczywistym przypadkiem jest sytuacja, w której nie korzystasz z usług podmiotów trzecich. Skoro samodzielnie (Ty lub Twoja firma) prowadzisz stronę, zbierasz dane, zarządzasz nimi i je przechowujesz, to inne podmioty nie wchodzą w grę. Cała odpowiedzialność za to zadanie spoczywa na Tobie i nikomu nic nie powierzasz.

Co jednak w sytuacji, gdy rzeczywiście dochodzi do współpracy z podmiotem trzecim, ale nie jest to typowa współpraca? Okazuje się, że i wtedy zdarzają się wyjątki. Umowa powierzenia nie jest konieczna np.:

  • w odniesieniu do takich danych, których administratorem również jest podmiot trzeci,
  • gdy na obydwa podmioty zostaje nałożony obowiązek przetwarzania danych w określonym zakresie i w określony sposób przez przepisy prawa.

W przypadku stron internetowych i hostingów najczęściej umowa powierzenia jest niezbędna (o ile podmiot przetwarzający dane otrzymuje je od administratora).

Umowa powierzenia przetwarzania danych osobowych – struktura

Czas przejść do treści zawartej w umowie powierzenia przetwarzania danych. W praktyce większość hostingodawców ma elektroniczną wersję umowy powierzenia danych. Często nawet przyjmuje ona formę formularza online. To wygodne rozwiązanie, bo musisz w nim tylko wypełniać wskazane pola. Ma to na celu usprawnienie tej procedury i ułatwienie jej realizacji przez administratora danych.

Co musi zawierać umowa powierzenia przetwarzania danych osobowych?

Strony mogą przygotować własne dokumenty lub skorzystać ze wzoru rządowego. W każdym z tych rozwiązań natomiast w umowie powierzenia musi znaleźć się szereg informacji sprawiających, że zapis ten jest zgodny z wymogami RODO. Mowa tu zatem o takich elementach, jak:

  • aktualny podmiot przetwarzający dane, czyli administrator danych (określenie ADO),
  • procesor (określenie podmiotu zewnętrznego, działającego na rzecz administratora),
  • zakres powierzanych danych (umowa powinna jasno definiować, jakie dane podmiot przetwarzający otrzyma. Zwykle podaje się tu kategorię osób, których dane dotyczą, np. użytkownicy oraz szczegółowe kategorie danych, m.in. adres, imię i nazwisko itd.),
  • czas trwania przetwarzania danych (określany konkretnie lub w odniesieniu do umowy, od której umowa powierzania danych jest zależna, np. umowa hostingowa),
  • cel przetwarzania danych (określa przyczynę powierzenia danych i określenie intencji, w której zwrócono się do procesora),
  • obowiązki i prawa administratora danych,
  • obowiązki i prawa podmiotu przetwarzającego dane,
  • oświadczenie podmiotu przetwarzającego dane o zapoznaniu się z obowiązkami.

Są to obligatoryjne informacje, które często wzbogaca się dodatkowymi danymi. Zależnie od zapisów, które wprowadzi administrator oraz druga strona, mogą w dokumencie pojawić się zatem takie zapisy, jak:

  • oświadczenie zleceniodawcy, że dysponuje on pełnym prawem do przetwarzania danych i jest administratorem,
  • oświadczenie zleceniobiorcy, że spełnia warunki organizacyjne oraz techniczne, o których mowa w przepisach RODO,
  • zgody dotyczące ewentualnego podpowierzania danych osobowych (dotyczy powierzania danych kolejnym podmiotom przez stronę umowy),
  • prawo do audytu (choć administrator zawarł umowę z firmą zewnętrzną, której dane zostały powierzone, to nadal jest ich administratorem. Oznacza to, że spoczywa na nim obowiązek czuwania nad ich bezpieczeństwem) i wskazanie zasad kontroli,
  • zobowiązanie do usunięcia lub anonimizacji danych po wygaśnięciu umowy
  • możliwość upoważnienia (administrator ma prawo upoważnić przedstawiciela drugiej strony umowy do nadania upoważnień do przetwarzania danych osobowych w jego imieniu,
  • ewentualne kary umowne i konsekwencje wyciągane wobec podmiotu przetwarzającego dane na wypadek niewywiązania się z podpisanej umowy.

Wzór umowy powierzenia przetwarzania danych osobowych – omówienie

Gotowy wzór umowy dotyczącej powierzenia danych znajdziesz na rządowej stronie internetowej. Jest ona dostępna pod adresem: https://www.gov.pl/attachment/de28f537-d044-49d3-99a9-eb85ea6c18b6. Dokument ma format PDF, możesz więc go wydrukować i uzupełnić ręcznie lub zrobić to na komputerze.

Zawarte w nim zostały dość ogólne zapisy, które warto doprecyzować pod względem dopasowania ich do Twoich potrzeb i oczekiwań. Niemniej jego atutem jest to, że są w nim wszelkie informacje czyniące z niego dokument zgodny z RODO. Składa się ze wstępu oraz sześciu paragrafów dotyczących różnych aspektów współpracy między stronami i zawieranej umowy. Poniżej omówiłem każdy z nich. Dodatkowo w śródtytułach hasłowo przybliżyłem poruszaną w nich tematykę.

Wstęp

Zawiera wszystkie podstawowe informacje dotyczące zawieranej umowy. W pierwszej kolejności określa:

  • kiedy nastąpiło zawarcie umowy,
  • gdzie nastąpiło zawarcie umowy,
  • strony umowy:
    • administratora (wraz z danymi),
    • procesora, wraz ze szczegółowymi danymi:
      • nazwą,
      • adresem siedziby,
      • numerem wpisu do KRS,
      • numerem NIP,
      • nazwą reprezentanta.

Następnie ustawodawca w czterech punktach określa pozostałe fakty istotne z perspektywy zawieranej umowy. Kolejno zawarto w nich takie informacje, jak:

  • fakt zawarcia umowy,
  • ogólny cel zawarcia umowy („warunki, na jakich procesor wykonuje operacje przetwarzania danych osobowych w imieniu Administratora”),
  • dążenie obu stron do zgodności umowy z przepisami RODO,
  • oświadczenie administratora o posiadaniu uprawnień do przetwarzania danych, których przekazanie ma nastąpić na mocy zawartej umowy.

Po uzupełnieniu wszystkich tych informacji i zapoznaniu się z podstawowymi zapisami możesz przejść do konkretnej treści umowy. Zostały one podzielone na paragrafy oznaczone tylko numerami §. Ja – dla ułatwienia i lepszej orientacji w dokumencie – nadałem im wspomniane wcześniej tytuły.

§1 – zakres i cel umowy

W tym paragrafie ustawodawca określa kategorie osób, których dane zostaną powierzone na rzecz procesora. Opisuje również ich rodzaj (bardzo szczegółowo) i zakres działania drugiej strony umowy. Zapisy te zostały zaprojektowane w taki sposób, że pod wieloma względami mogą nie odpowiadać Twoim oczekiwaniom. Warto więc je dopasować do indywidualnej sytuacji.

Kolejne podpunkty dotyczą takich aspektów, jak:

  1. – źródło pochodzenia danych powierzanych procesorowi;
  2. – ogólne określenie okresu obowiązywania powierzenia („w okresie obowiązywania Umowy Podstawowej);
  3. – charakter i cel przetwarzania danych przez procesora;
  4. – szczegółowy opis danych, których dotyczy powierzenie, takich jak m.in.:
    • imię i nazwisko,
    • numer PESEL,
    • obywatelstwo,
    • orzeczenie lekarskie wymagane przepisami kodeksu pracy,
    • orzeczenie o niepełnosprawności,
    • i wiele innych.

Wielokrotnie wzór umowy odnosi się do Umowy Podstawowej. W przypadku umowy zawieranej między administratorem witryny internetowej a firmą hostingową może zostać zmienione to na umowę hostingową. Dodatkowo zmodyfikowany możesz również np. cel przetwarzania czy zakres danych. Polecam ponadto również ocenić, czy bieżące zapisy obejmują Twoje potrzeby i nanieść niezbędne korekty.

§2 – podpowierzenie

Paragraf drugi porusza kwestię, o której wspominałem już wcześniej, czyli podpowierzenie. Dochodzi do niego, gdy podmiot działający na rzecz administratora chce skorzystać z ponownego powierzenia danych, tym razem swojemu podwykonawcy. Jest to dość standardowa praktyka, która nie powinna wywoływać Twojego niepokoju. Mimo to natomiast – jako administrator – masz prawo zarówno się na nią zgodzić, jak i podkreślić swój sprzeciw wobec tego typu praktyk.

W kolejnych punktach paragrafu znajdziesz takie informacje, jak:

  1. – obowiązek procesora do przetwarzania danych zgodnie z zapisami niniejszej umowy oraz Umowy Podstawowej. Zaznacza przestrzeganie tego zapisu również przez wszystkie osoby upoważnione przez niego do przetwarzania danych;
  2. – obowiązek zawarcia umowy zgodnej z rozporządzeniem między procesorem a podprocesorem. Muszą zostać w niej zawarte zapisy z niniejszego dokumentu;
  3. – administrator powinien zostać niezwłocznie poinformowany o podpisaniu umowy z podprocesorem;
  4. zaznaczenie, że podpowierzeniem nie jest przetwarzanie danych przez:
    1. personel procesora,
    2. osoby pracujące dla niego na podstawie umów cywilnoprawnych.

Warto w tym paragrafie jednoznacznie określić, czy jako administrator godzisz się na podpowierzanie i na jakich warunkach. Jeśli wyrażasz zgodę, to koniecznie zadbaj o doprecyzowanie, w jakim wymiarze jest to dla Ciebie praktyka akceptowalna.

§3 – prawa i obowiązki podmiotu przetwarzającego i zlecającego

Paragraf trzeci jest najbardziej rozbudowany i w zasadzie stanowi główną część tego dokumentu. Zostały w nim zawarte wszelkie prawa, obowiązki i wymagania stawiane wobec procesora. Trzynaście punktów przygotowanych przez ustawodawcę porusza takie zagadnienia, jak:

  1. – przetwarzanie danych przez procesora wyłącznie zgodnie z zapisami w umowie. Wszelkie odstępstwa od tego zapisu muszą być natychmiast zgłaszane, a polecenia takich działań zlecane na piśmie;
  2. – oświadczenie procesora dotyczące nieprzekazywania informacji do żadnych organizacji międzynarodowych oraz państw trzecich;
  3. – deklarację procesora dotycząca niekorzystania z podprocesorów przekazujących informacje w miejsca z punktu 2.;
  4. -w razie chęci przekazywania informacji w miejsca z punktu 2., procesor musi poinformować wcześniej o tym administratora. Ma on możliwość podjęcia decyzji i odpowiednich działań z tym związanych;
  5. – deklarację zapewnienia dostępu do danych wyłącznie osobom do tego niezbędnym;
  6. – zobowiązanie do zachowania tajemnicy przez wszystkie osoby upoważnione do przetwarzania danych przez procesora;
  7. – zobowiązanie procesora do podejmowania wszystkich środków wymaganych na podstawie przepisów art. 32. RODO;
  8. – pomoc administratorowi w udzielaniu odpowiedzi na żądania właścicieli przetwarzanych danych osobowych;
  9. – błyskawiczne informowanie administratora przez procesora o wszelkich postępowaniach sądowych, administracyjnych, orzeczeniach, kontrolach itd., jeśli dotyczą one powierzonych danych osobowych;
  10. – obowiązek procesora o informowaniu z wyprzedzeniem administratora o dokonywaniu zmian w sposobie przetwarzania danych. Ma obowiązek ponadto zastosować się do wymogu projektowania prywatności;
  11. – zobowiązaniu procesora do prowadzenia dokumentacji dotyczącej sposobu przetwarzania danych;
  12. – konieczności udzielenia na żądanie administratora informacji niezbędnych do wykazania pełnego wypełnienia obowiązków określonych w umowie;
  13. – powiadamianiu administratora o każdym podejrzeniu naruszenia danych osobowych w ciągu 24 godzin od chwili pierwszego zgłoszenia. Definiuje ponadto zgłoszenie, wymieniając elementy, które musi ono zawierać.

Jak widzisz, zapisy uwzględnione we wzorze są stosunkowo ogólne. Warto zatem poświęcić chwilę na ich edycję i wzbogacenie o konkretne informacje, szczegółowo odnoszące się do Twojej witryny. To pozwoli Ci jednoznacznie określić zakres prac spoczywających na hostingodawcy. Na tej podstawie łatwiejsze też będzie rozliczanie go z efektywności.

§4 – narzędzia kontroli (audyt)

Jako administrator masz prawo do kontrolowania danych i procesu zarządzania nimi. W końcu odpowiadasz za powierzane informacje, warto więc regularnie kontrolować usługodawcę, upewniając się, że prawidłowo wywiązuje się z zapisów umowy. To, w jaki sposób możesz przeprowadzać tego typu kontrole, zostało opisane w paragrafie czwarty. Po raz kolejny podkreślę, że jest on dość ogólny. Wszystko mieści się w tylko 4 punktach, zgodnie z którymi:

  1. – administrator może kontrolować przetwarzanie przekazanych danych, ale dopiero po wcześniejszym poinformowaniu o tym procesora. Może wymagać informacji dotyczących przebiegu całego procesu oraz udostępnienia rejestrów przetwarzania. Ma ponadto możliwość wejścia do pomieszczeń, w których proces ten się odbywa, a także otrzymuje wgląd w dokumentację z nim związaną;
  2. – procesor ma obowiązek współpracy z organem nadzorczym w zakresie wykonywania zadania opisanego w umowie;
  3. – procesor musi udostępnić administratorowi wszystkie informacje wykazujące zgodność działań podejmowanych przez administratora z przepisami.

Nad tym aspektem polecam szczególnie uważnie się pochylić podczas zawierania umowy. Z oczywistych względów hostingodawcy mogą dążyć do ograniczenia możliwości kontroli. Nie musi wynikać to ze złej woli, ale zwykłej wygody. Nawiązują współpracę z ogromem administratorów, przez co bezustanne audyty mogą być dla nich zwyczajnie czasochłonne i problematyczne. Warto natomiast zapewnić sobie racjonalny dostęp do niezbędnych informacji.

Hostingodawcy w tym aspekcie mogą posługiwać się rozwiązaniami technologicznymi. Odpowiedzią na potrzebę kontroli i audytów może być np. stały dostęp do niezbędnych informacji z poziomu panelu klienta. Sprzyja to obu stronom umowy, nie wymaga bowiem aktywizacji procesora, jednocześnie wypełniając warunki umowy wobec administratora. Polecane jest natomiast zawsze upewnienie się, w jaki sposób proces ten będzie realizowany. Istotne jest np. zwrócenie uwagi na częstotliwość aktualizowania prezentowanych informacji czy ich szczegółowość.

§5 – czas trwania przetwarzania i usuwanie danych

Krótki paragraf stanowiący bezpośrednie odniesienie do Umowy Podstawowej. Ze względu na jego długość zacytuję go w całości:

Umowa została zawarta na czas obowiązywania umowy podstawowej, za zastrzeżeniem terminu karencji usunięcia danych.

Po zmianie jego odniesienia do umowy hostingowej może oznaczać, że powierzenie danych trwa tak długo, jak długo obowiązywała będzie Twoja umowa hostingowa. Gdy więc zdecydujesz się przejść np. do innego usługodawcy, aktualny nie będzie zobligowany do dalszego przetwarzania powierzanych mu danych.

Polecam zwrócić szczególną uwagę na wspomniany termin karencji usunięcia danych. Z jednej strony powinien być na tyle długi, żeby nie było problemu z ich przeniesieniem i upewnieniem się o poprawności tej procedury. Z drugiej powinien być odpowiednio krótki i prawidłowo przeprowadzony, aby informacje nie wpadły w niepowołane ręce.

§6 – zapisy na wypadek niewywiązania się jednej ze stron z zapisów umowy

Ostatni paragraf zawiera zapisy związane z ewentualnym niedotrzymaniem umowy i postąpieniem niezgodnie z jej zapisami. Z Twojej perspektywy oczywiście najistotniejsze jest dochodzenie swoich praw, jeśli do procesor zrobi coś nie tak. Pamiętaj jednak, że dobrze sporządzona umowa powinna stanowić zabezpieczenie dla obu stron.

Możesz mieć pewność, że firmy hostingowe przykładają szczególnie dużą wagę do tej części dokumentu. Dokładnie się więc z nim zapoznaj, zwracając uwagę zarówno na konsekwencje możliwe do wyciągnięcia wobec procesora, jak i te potencjalnie zagrażające Tobie. Ustawodawca zawarł wszystko w siedmiu punktach:

  1. – niezgodności między tą umową oraz Umową Podstawową rozstrzygane na korzyść tego dokumentu. Dodatkowo wszelkie zmiany związane z przetwarzaniem danych muszą być regulowane poprzez nanoszenie zmian na niniejszą umowę;
  2. – za szkody wynikające z niedopełnienia obowiązków procesora odpowiada on sam. Dotyczy to zarówno działalności w ramach zapisów umowy, jak i poza nimi;
  3. – za szkody spowodowane niezastosowaniem lub zastosowaniem niewłaściwych środków bezpieczeństwa odpowiada procesor;
  4. – za niewywiązanie się z obowiązków ochrony danych spoczywających na procesorze odpowiada on sam;
  5. – zmiany w umowie muszą być wprowadzane w formie pisemnej;
  6. – sprawy nieuregulowane niniejszą umową będą rozstrzygane przez przepisy obowiązujące w Polsce (szczególnie Ustawa o ochronie danych osobowych i kodeks cywilny);
  7. – umowa sporządzona w dwóch jednakowych egzemplarzach.

Podobnie jak w przypadku większości dokumentów, na samym końcu widnieje miejsce na odręczne podpisy obu stron umowy. W przypadku rozwiązań elektronicznych, udostępnianych przez hostingi, odręczne podpisy oczywiście w większości przypadków nie są konieczne. Uwierzytelnianie użytkownika przebiega online, a zawarta umowa błyskawicznie trafia do administratora oraz procesora. Natychmiast też od momentu jej przekazania obu stronom znajdujące się w niej zapisy zaczynają być egzekwowane.

Hostingi i strony internetowe a odpowiedzialność za powierzone do przetwarzania dane osobowe

Zawierając umowę powierzenia danych podmiotowi zewnętrznemu, nadal obowiązują Cię przepisy dotyczące ochrony danych osobowych. Jednocześnie jednak odpowiedzialność ta spoczywa również na podmiocie, któremu dane te zostały powierzone. Nie dochodzi zatem w tym przypadku do całkowitego przeniesienia odpowiedzialności. Mówić można wyłącznie o jej „rozłożeniu” na obie strony zawartej umowy.

Zgodnie z przepisami zawartymi w Rozporządzeniu RODO, przestrzeganie przepisów spoczywa na administratorze danych. Co natomiast istotne, nie wyłącza to odpowiedzialności podmiotu trzeciego, z którym zawarł on umowę, gdy dane będą przetwarzane niezgodnie z jej zapisami.