Prezes Urzędu Ochrony Danych Osobowych rozpoczął publiczne konsultacje dotyczące standardowych klauzul umownych w umowach powierzenia przetwarzania danych osobowych. Klauzule te mogą być cenną wskazówką dla przedsiębiorców, którzy w ramach współpracy z innymi podmiotami przekazują dane osobowe.
Zgodnie z artykułem 28 ust. 8 RODO, organy nadzorcze państw członkowskich mogą przyjąć standardowe klauzule umowne dotyczące powierzenia przetwarzania danych osobowych, w tym kwestii związanych z przedmiotem i czasem trwania przetwarzania, jego charakterem i celem, rodzajem danych osobowych oraz kategoriami osób, których dane dotyczą, czy obowiązkami i prawami administratora. Kwestie te szczegółowo określa art. 28 ust. 3-4 RODO.
Stworzenie standardowych klauzul umownych przez Prezesa UODO będzie wymagało zastosowania mechanizmu spójności, o którym mowa w art. 63 RODO, przewidującego wydanie opinii przez Europejską Radę Ochrony Danych i konsultacje z tym organem. Wydanie standardowych klauzul z art. 28 ust. 8 RODO nie będzie więc procesem szybkim.
Nie wiadomo kiedy dokładnie powstanie rejestr klauzul umownych. Właśnie rozpoczęły się publiczne konsultacje, w trakcie których przedsiębiorcy mogą zgłaszać swoje uwagi i wątpliwości dotyczące powierzania przetwarzania danych osobowych, dotyczące w szczególności kwestii:
- dokumentowania poleceń administratora dotyczących przetwarzania danych;
- weryfikowania zobowiązań do zachowania tajemnicy przez osoby upoważnione;
- stopnia sprecyzowania środków bezpieczeństwa wymaganych przez art. 32 RODO;
- wywiązywania się z obowiązków związanych z realizacją żądań osoby, której dane dotyczą;
- realizowania obowiązku udostępnienia informacji niezbędnych do wykazania spełnienia obowiązków ciążących na administratorze (m.in. art. 28, 32-36 RODO);
- zapewnienia zgodności działań innego podmiotu przetwarzającego z postanowieniami umowy zawartej z administratorem.
Wszelkie uwagi można zgłaszać do końca stycznia na adres mailowy: [email protected], w tytule wiadomości wskazując „Konsultacje Umowa powierzenia”.
W przypadku przyjęcia w omawianej procedurze przez polski organ nadzorczy standardowych klauzul umownych, będą one mogły być stosowane powszechnie przez przedsiębiorców. Proponowane przez Prezesa UODO zapisy umowne będą zabezpieczały interesy obydwu stron umów powierzenia przetwarzania danych w ramach prowadzonej przez nie działalności. Stosowanie klauzul wskazanych przez organ nadzorczy daje gwarancję, że proces ten będzie przebiegał zgodnie z zasadami wynikającymi z RODO, należycie zabezpieczając dane osobowe. Rynek uzyska bowiem jasne i precyzyjne wskazówki co do tego, jakie oczekiwania i wymogi stawia Prezes Urzędu Ochrony Danych Osobowych. Przedsiębiorcy unikną konieczności samodzielnego tworzenia stosownych fragmentów umów, korzystając z wzorców stworzonych przez profesjonalistów. Nie zwolni to z obowiązku racjonalnego wykorzystania gotowych wzorców, ale ułatwi prowadzenie prac w tym zakresie. Jest to niewątpliwie krok w dobrym kierunku, by ułatwić stosowanie RODO i minimalizować ryzyka związane z ewentualną odpowiedzialnością za naruszenie przepisów.
adw. dr Jan Prasałek