Case studyPytania i odpowiedziRODO

Umowa powierzenia przetwarzania danych i okres jej obowiązywania

Mamy w firmie zawarte umowy powierzenia przetwarzania danych osobowych. Mamy jednak wątpliwości w związku z zapisem terminów zawierania takich umów. W jednej z nich został podany przykładowo czas zawierania umowy powierzenia na czas trwania umowy głównej, czyli umowy na świadczenie usług. Zapisując taki czas nie zawsze mamy gwarancję, że powierzone dane nie będą przetwarzane w późniejszym terminie. Podmioty takie mogą być zobligowane do przechowywania danych np. w związku z przepisami archiwalnymi, podatkowymi i jaszcze jakimiś innymi, o których niekoniecznie możemy mieć wiedzę. Sami wiemy z własnego doświadczenia, że dane jakie pozyskujemy jako jednostka publiczna, nie będą przetwarzane wyłącznie na czas trwania umowy głównej, lecz również na czas przechowywania w archiwum zakładowym przez np. 10 czy 50 lat. Czy można zaproponować jakiś uniwersalny zapis na czas zawierania takich umów. czyli na czas trwania umowy głównej i czas potrzebny na przetwarzanie tych danych podyktowany jakimiś przepisami ustawowymi, które musi spełniać Procesor?

W ogólnym podejściu nie powinno się powierzać przetwarzania danych bezterminowo, chyba że prawo będzie stanowić inaczej. W przypadku udostępniania danych w ramach ciągłej współpracy można nie określać terminu ze względu na ciągłość procesów biznesowych.

Jeżeli administrator danych nie ma gwarancji co do rzetelności podmiotu przetwarzającego, to taka umowa z takim podmiotem nie powinna być zawierana, ponieważ rozporządzenie 2016/679 mówi wprost, że administrator wybierając podmiot przetwarzający powinien kierować się przesłankami / gwarancjami, które dają duży poziom pewności co do rzetelności i wiarygodności takiego podmiotu, któremu dane są powierzane.

Jeżeli podmiot jest zobligowany do archiwizowania danych przez okres dłuższy niż wynikałoby to z umowy powierzenia (np. dane medyczne przetwarzane przez przychodnię medyczną), to po zakończeniu umowy taki podmiot jest zobligowany do zwrócenia administratorowi kopii danych i archiwizowanie swojej kopii przez okres wskazany przepisami prawa. Mówi o tym wprost rozporządzenie 2016/679, więc zakładam, że podmioty przetwarzające są tego świadome.