Aby zapewnić bezpieczeństwo danych konsumentów, Unia Europejska (UE) wdrożyła rygorystyczne przepisy dotyczące prywatności i bezpieczeństwa, znane jako Ogólne rozporządzenie o ochronie danych (RODO). Ogólne rozporządzenie o ochronie danych (RODO) określa i egzekwuje prawa obywateli UE w zakresie ich danych osobowych. Wdraża standardy odpowiedzialności, bezpieczeństwa i przejrzystości w wykorzystaniu tych danych.

Globalne firmy, które działają w Unii Europejskiej lub przetwarzają dane osobowe z UE, muszą zrozumieć , w jaki sposób Ogólne rozporządzenie o ochronie danych (RODO) wpłynie na nie i jak zachować zgodność z Ogólnym rozporządzeniem o ochronie danych (RODO).

Jednym z aspektów tej zgodności jest wdrożenie umowy o przetwarzaniu danych (DPA). Umowa powierzenia przetwarzania danych osobowych (RODO) określa szczegóły, zasady, prawa i obowiązki związane z czynnościami przetwarzania danych. Pomaga zapewnić zgodność firmy z przepisami, zabezpieczyć dane oraz chronić i zadowolić klientów.

Niniejszy przewodnik zawiera bliższe spojrzenie na to, jak działają umowy DPA i co należy w nich zawrzeć.

Czym jest DPA w ramach Ogólnego rozporządzenia o ochronie danych (RODO?

Umowa o przetwarzaniu danych to umowa podpisywana między administratorami danych a podmiotami przetwarzającymi dane, które będą przetwarzać ich dane. Jest to wymagane dla pełnej zgodności z Ogólnym rozporządzeniem o ochronie danych (RODO).

DPA określa charakter, cel oraz czas trwania działań przetwarzania, które będą prowadzone. Określa także rodzaj danych osobowych do przetwarzania oraz kategorie osób, do których należą. Określa prawa i obowiązki, jakie będzie miał kontroler. Może określić zastosowanie technicznych środków bezpieczeństwa, takich jak określony poziom szyfrowania, które muszą być wdrożone.

DPA jest prawnie wiążące, a administrator danych i podmiot przetwarzający muszą go przestrzegać lub ryzykować poważne kary.

Główną zaletą DPA jest zapewnienie kwalifikacji i niezawodności procesora danych. Firmy muszą mieć pewność, że ich dane są w dobrych rękach, że są prywatne i bezpieczne przed ciekawskimi oczami. DPA pomaga zapewnić te zapewnienia.

Ogólne rozporządzenie o ochronie danych (RODO) i jego wymogi dotyczące ochrony danych mogą mieć w przyszłości znaczący wpływ na działalność biznesową. Transakcje biznesowe mogą ulec zmianie, ponieważ gromadzenie danych osobowych stanie się bardziej ograniczone, komunikacja dotycząca gromadzenia i przechowywania danych stanie się niezbędna, a relacje z dostawcami zewnętrznymi będą wymagały bardziej rygorystycznych umów. Poszczególne firmy i ich działy KADRY odczują rozległe skutki dostosowania swoich procesów do wymogów Ogólnego rozporządzenia o ochronie danych (RODO).

Zaletą wymogów Ogólnego rozporządzenia o ochronie danych (RODO) jest to, że zaufanie w biznesie może rozkwitnąć, ponieważ ludzie będą bardziej pewni prywatności i ochrony swoich danych.

Kiedy wymagana jest umowa powierzenia przetwarzania danych?

Czy potrzebujesz umowy o przetwarzaniu danych? Możesz, jeśli obsługujesz dane osobowe w UE lub z niej.

Zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) dokument DPA jest obowiązkowy w każdym przypadku, gdy osoba lub organizacja przekazuje dane osobowe zewnętrznemu usługodawcy w ramach usługi współpracy. Każda strona działająca jako przetwarzający dane musi podpisać DPA z kontrolerami danych.

Na przykład w UE usługodawca, który hostuje stronę internetową, musi podpisać umowę o ochronie danych osobowych z firmą, do której należy dana strona. Firma, która przetwarza dane osobowe w celu prowadzenia ukierunkowanego marketingu konsumenckiego, musi również podpisać umowę o przetwarzaniu danych osobowych.

Poniżej znajduje się kilka innych powszechnych usług biznesowych i scenariuszy wymagających DPA:

  • outsourcingzarządzania pocztą elektroniczną
  • Rozwiązania do przetwarzania danych technicznych dla księgowości finansowej i płacowej
  • Usługi tworzenia kopii zapasowych danych, zarówno przez serwery fizyczne, jak i w chmurze
  • Zbieranie lub digitalizacja danych przez zewnętrznego dostawcę usług
  • Utylizacja starego sprzętu zawierającego dane wrażliwe

W niektórych przypadkach Ogólne rozporządzenie o ochronie danych (RODO może wymagać DPA dla firm spoza Europy). Wymóg ten wchodzi w grę za każdym razem, gdy w grę wchodzą dane UE. Na przykład, firma z siedzibą w Kanadzie może podlegać wymogowi DPA, jeśli przetwarza dane dotyczące obywateli UE.

Kiedy DPA nie jest wymagane?

Kiedy umowa o partnerstwie biznesowym nie jest wymagana, w tym partnerstwa, usługi portalowe, agencje windykacyjne i wspólne zarządzanie danymi przez wiele firm.

Kilka konkretnych scenariuszy nie wymaga DPA. Mają wbudowane zabezpieczenia, które uniemożliwiają ochronę DPA. Rozważ poniższe informacje, aby lepiej zrozumieć obowiązki Twojej firmy w tych okolicznościach:

  1. Partnerstwa z grupami zawodowymi, które mają wymogi dotyczące poufności: W wielu zawodach najlepsze praktyki polegają na tym, aby dostawcy usług posiadali branżowe, dostosowane umowy poufności, które obejmują wszystkie środki bezpieczeństwa i wymogi prywatności wymagane przez DPA. Kilka zawodów, które zazwyczaj korzystają z tych umów o poufności, to prawo, doradztwo podatkowe oraz audyt finansowy. Wiele usług medycznych zazwyczaj posiada również własne, rygorystyczne gwarancje poufności.
  2. Usługi portalowe: Usługi, które jedynie łączą osoby lub podmioty, są zazwyczaj zwolnione z wymogów RODO. Te profesjonalne usługi swatania są tak przejściowe, że DPA przyniosłoby niewielkie korzyści. Do tej kategorii należą na przykład rekruterzy. Łączą one jedynie osoby poszukujące pracy z firmami poszukującymi utalentowanych nowych członków ZESPÓŁ. Ten scenariusz sprawia, że umowa DPA z rekruterem nie jest konieczna.
  3. Współpraca z agencjami windykacyjnymi: Agencje windykacyjne uzyskują dostęp do danych finansowych i medycznych. Ponieważ agencje windykacyjne są odrębne od pierwotnych wierzycieli i pobierają dług dla własnych korzyści, są zwolnione z wymogów DPA. Jeśli działały w imieniu pierwotnych wierzycieli, agencje windykacyjne musiałyby podpisać DPA.
  4. Wspólne zarządzanie danymi przez wiele firm: W niektórych przypadkach firmy pracują jako grupa w celu zarządzania zbiorem danych. Taki scenariusz często ma miejsce, gdy firmy mają wspólny dostęp do danych od dostawców, produktów lub potencjalnych klientów. Chociaż firmy mogą być konkurentami, wykorzystują te same dane do tych samych ogólnych celów. Skala wykorzystania tych danych zasadniczo oznacza, że umowa o partnerstwie w sprawie ochrony danych nie jest obowiązkowa.
  5. Badania kliniczne: W klinicznych badaniach farmaceutycznych na dużą skalę zazwyczaj nie stosuje się umów o partnerstwie w sprawie ochrony danych ze względu na liczne podmioty, które biorą w nich udział. Lekarze, ośrodki badawcze i sponsorzy mają dostęp do danych uczestników i przetwarzają je w różny sposób w zależności od swoich potrzeb. Zebrane dane służą również różnym celom w trakcie badania klinicznego. W takich okolicznościach umowy o partnerstwie w sprawie ochrony danych zasadniczo nie mają zastosowania.

Kto jest administratorem danych?

Każda umowa DPA zawarta jest między kontrolerem danych a procesorem danych. Kontroler danych to organizacja lub osoba, która decyduje, jak i dlaczego przetwarzać dane osobowe. Jeżeli Twoja firma zdecyduje się na przesłanie danych osobie trzeciej w celu utworzenia kopii zapasowej na jej serwerach, Twoja firma będzie administratorem danych.

Cechą definiującą kontrolera danych jest zdolność podejmowania decyzji. Kontroler danych podejmuje ogólne decyzje dotyczące powodów zbierania danych oraz sposobów przetwarzania danych osobowych.

W większości przypadków administratorem danych jest firma lub organizacja. Podmiotem przetwarzającym dane jest odrębny podmiot, który zawiera umowę z firmą. Osoba taka, taka jak jednoosobowa działalność gospodarcza lub samozatrudniona, również może być kontrolerem danych, jeśli podejmuje decyzje dotyczące zbierania i przetwarzania danych osobowych.

Kto jest podmiotem przetwarzającym dane?

Procesor danych to strona trzecia, która przetwarza dane dla administratora danych. W powyższym scenariuszu, jeśli Twoja firma zdecyduje się na wysłanie danych w celu utworzenia kopii zapasowej, firmą świadczącą usługi tworzenia kopii zapasowych będzie podmiot przetwarzający dane.

Podmiot przetwarzający dane może przybierać różne formy. Może to być firma, osoba fizyczna lub organ publiczny. Istotnym kryterium jest to, czy dana osoba lub podmiot przetwarza dane w imieniu administratora danych.

Co zawiera dokument DPA?

Artykuły 28-36 Ogólnego rozporządzenia o ochronie danych (RODO) określają, jakie obowiązki umowne są obowiązkowe dla podmiotu przetwarzającego dane na mocy Ogólnego rozporządzenia o ochronie danych (RODO). Poniżej znajdują się niektóre z wymaganych klauzul RODO:

1. Szczegółowy przegląd szczegółów dotyczących obsługi danych

DPA powinno zawierać szczegółowe informacje na temat tego, w jaki sposób będą przetwarzane dane w każdym aspekcie. DPA powinno zawierać jasne informacje na takie tematy jak:

  • Rodzaj przetwarzanych danych osobowych
  • Przedmiot danych
  • Kategorie osób, których dane dotyczą
  • Cel i charakter przetwarzania danych
  • Przewidywany czas trwania przetwarzania danych
  • Podstawa prawna przetwarzania danych osobowych
  • Zwrot lub usunięcie danych osobowych po zakończeniu przetwarzania

2. Prawa i obowiązki administratora danych i procesora

DPA zapewnia jasność co do tego, kto kontroluje przetwarzanie danych.

Określając prawa i obowiązki obu stron, DPA zapewnia jasność co do tego, kto kontroluje przetwarzanie danych.

DPA powinno wyraźnie stwierdzać, że podmiot przetwarzający dane musi wykonywać przetwarzanie zgodnie z życzeniami i specyfikacjami administratora danych. Powinien on określać, że administrator, a nie podmiot przetwarzający, zachowuje pełną kontrolę nad danymi i tym, co się z nimi dzieje.

DPA powinna nakazywać przetwarzającemu dane przetwarzanie danych wyłącznie zgodnie z bezpośrednimi instrukcjami administratora, odstępując od nich tylko wtedy, gdy wymaga tego prawo UE lub prawo jednego z państw członkowskich.

3. Wymagane środki poufności dla podmiotu przetwarzającego dane

DPA powinna określić protokoły, których powinien przestrzegać procesor danych, aby zapewnić poufność danych osobowych.

Na przykład podmiot przetwarzający dane musi wymagać od stałych pracowników, pracowników tymczasowych oraz podwykonawców podpisania umów o poufności, zanim będą mogli rozpocząć przetwarzanie danych osobowych. Jedyny moment, gdy umowa o poufności staje się zbędna, to sytuacja, gdy ustawowy obowiązek już wymaga od przetwórcy zapewnienia poufności.

4. Wymagane protokoły techniczne i organizacyjne dla bezpieczeństwa informacji

DPA powinna określać środki bezpieczeństwa, które procesor danych musi wdrożyć, w tym takie środki, gdy są to stosowne:

  • Szyfrowanie danych
  • Pseudonimizacja osób, których dane dotyczą
  • Protokoły zapewniające poufność, dostępność, odporność i bezpieczeństwo wszystkich systemów przetwarzania danych
  • Procesy przywracania dostępu do danych osobowych po ataku lub naruszeniu
  • Regularny program testowania i oceny skuteczności wszystkich środków bezpieczeństwa

Wielu procesorów może chcieć uzyskać formalne certyfikaty lub sporządzić oficjalne kodeksy postępowania potwierdzające implementowane protokoły. Tego typu środki pomagają zapewnić, że przetwarzanie danych jest w pełni zgodne z ogólnym rozporządzeniem o ochronie danych (RODO.

5. Warunki wszelkich umów z podwykonawcami

DPA powinna również określać wymagania, jakie procesor danych musi nałożyć swoim podwykonawcom. Na przykład procesor musi przestrzegać następujących zasad i najlepszych praktyk:

  • Zatrudnianie podwykonawców wyłącznie za wyraźną zgodą i autoryzacją kontrolera danych
  • Sporządzanie i podpisywanie umów nakładających na podwykonawcę takie same wymogi w zakresie bezpieczeństwa danych, jakich musi przestrzegać sam podmiot przetwarzający dane.
  • Zapewnienie zgodności podwykonawcy z wymogami ochrony danych
  • Informowanie kontrolera danych o wszelkich zmianach dotyczących podwykonawców oraz dawanie mu czasu na reakcję

6. Zobowiązania do współpracy dla procesora danych

Podmiot przetwarzający dane musi również umożliwić administratorowi danych przeprowadzanie audytów zgodności podczas przetwarzania.

DPA powinno określać, kiedy i w jaki sposób procesor danych musi współpracować z administratorem danych. Na przykład procesor danych musi współpracować, aby pomóc w rozwiązywaniu wniosków o dostęp do danych. Procesor musi również współpracować w ochronie prywatności i praw podmiotów danych, szczególnie poprzez spełnienie następujących wymogów:

  • Zapewnienie bezpieczeństwa danych osobowych
  • Niezwłoczne powiadamianie władz i podmiotów danych o naruszeniach danych osobowych
  • Przeprowadzanie ocen wpływu na ochronę danych (DPIA) w razie potrzeby
  • Konsultacja z odpowiednimi organami w przypadku poważnych zagrożeń danych

Procesor danych musi również umożliwić kontrolerowi przeprowadzanie audytów zgodności podczas przetwarzania. Podczas audytów podmiot przetwarzający musi niezwłocznie przekazać administratorowi wszelkie istotne informacje, aby wykazać, że wypełnił on swoje obowiązki w zakresie zgodności wynikające z art. 28 Ogólnego rozporządzenia o ochronie danych (RODO).

Dobrą praktyką jest również prowadzenie przez podmiot przetwarzający dokumentacji czynności przetwarzania w celu wykazania zgodności z Ogólnym rozporządzeniem o ochronie danych (RODO).

Co dzieje się po naruszeniu ochrony danych w ramach DPA?

Jeśli dojdzie do naruszenia danych, zaangażowane firmy muszą podjąć konkretne, natychmiastowe działania. Państwa firma musi powiadomić odpowiedni organ nadzorczy w ciągu 72 godzin, jeśli naruszenie stwarza poważne ryzyko.

Jeśli naruszenie bezpieczeństwa danych stwarza bardzo duże ryzyko dla osób, których ono dotyczy, Twoja firma zazwyczaj musi powiadomić również te osoby. Jeśli jednak w Twojej firmie obowiązują już skuteczne protokoły zabezpieczenia technicznego i organizacyjnego przed ryzykiem, powiadomienie może nie być konieczne.

Proszę sobie na przykład wyobrazić, że firma obsługująca karty kredytowe padła ofiarą naruszenia danych w wyniku ataku na serwery, na których przechowywane są dane. Osobiste informacje finansowe Klientów zostały naruszone. Ich imiona i nazwiska, adresy domowe, dodatkowe informacje kontaktowe, dane finansowe i szczegóły dotyczące rodzajów płatności dokonywanych za pomocą kart kredytowych zostały upublicznione.

Firma hostująca serwery musiałaby powiadomić władze o naruszeniu w ciągu 72 godzin. Musi również powiadomić firmę obsługującą karty kredytowe.

Firma prawdopodobnie będzie musiała poinformować konsumentów, ponieważ ujawnienie ich danych osobowych mogłoby narazić ich na ryzyko. Naruszenie może również doprowadzić do ujawnienia wrażliwych, chronionych informacji zdrowotnych konsumentów, jeśli dokonywali płatności medycznych na kartach kredytowych.

Jakie są kary za nieprzestrzeganie Ogólnego rozporządzenia o ochronie danych (RODO? 

Jeśli dojdzie do naruszenia danych, firma, która nie przestrzega przepisów, będzie podlegać działaniom dyscyplinarnym. Prawdopodobne wykroczenie skutkuje jedynie ostrzeżeniem. Potwierdzone incydenty niezgodności mogą podlegać jednemu lub większej liczbie tych Kary:

  1. Formalna reprymenda
  2. Tymczasowy lub trwały zakaz przetwarzania danych
  3. Kara pieniężna w wysokości do20 mln EURlub 4 proc. całkowitych rocznych globalnych przychodów firmy

Zatrudnij specjalistów od bezpieczeństwa danych do swojego ZESPÓŁ z G-P

Jeśli budujesz międzynarodowe zespoły skoncentrowane na bezpieczeństwie danych, współpracuj z G-P. Nasze zespoły specjalistów pomogą Ci zrozumieć przepisy dotyczące umowy o przetwarzaniu danych, które mają zastosowanie w Twojej firmie.

Aby zachować zgodność z ustawą o ochronie danych osobowych, w zespole ZESPÓŁ muszą znajdować się inspektorzy ochrony danych i inni prawnicy. Jako globalny Formalny Pracodawca (EOR)), G-P pomaga Ci w Organizacji zatrudnienia i opłacaniu Międzynarodowych Utalentowanych pracowników, których potrzebujesz do osiągnięcia sukcesu. Traktujemy prywatność danych bardzo poważnie i możemy pomóc Ci zachować zgodność z miejscowym prawem pracy oraz zabezpieczyć Twoje poufne informacje, gdy rozwijasz swoją firmę na arenie międzynarodowej.

W G-P pomagamy Państwu przyspieszyć proces rekrutacji. Korzystając z naszej kompleksowej Globalnej platformy szkoleniowej, za pomocą kilku kliknięć możesz zorganizować zatrudnienie i wdrożyć nowych członków ZESPÓŁ, oszczędzając czas i usprawniając swoje podejście do wyzwań Międzynarodowej firmy Rozwój.

Poproś o propozycję już dziś lub skontaktuj się z nami , aby dowiedzieć się o zatrudnianiu specjalistów ds. bezpieczeństwa danych za pośrednictwem naszej platformy.