Case studyPytania i odpowiedziRODO

Umowa powierzenia przetwarzania i sposób zabezpieczania danych

Jak przykładowo powinno się opisywać zabezpieczenia powierzanych danych osobowych do przetwarzania oraz zasady przekazywania tych danych? Czy można tego rodzaju informacje pominąć w umowie? W przykładach innych umów powierzenia, które do nas przychodzą, nie zawsze się to określa.

Szczegółowe określenie zabezpieczeń nie musi być w każdym przypadku stosowane. Opis taki powinien zawierać co najmniej sposób zabezpieczania danych w trakcie ich przekazywania podmiotowi przetwarzającemu. Może też zawierać ogólne zasady zabezpieczania danych uzgodnione z podmiotem przetwarzającym. Ogólnie przyjęte jest, że przekazywanie lub przetwarzanie danych obarczone wysokim ryzykiem utraty, modyfikacji, odczytania danych przez osoby nieuprawnione powinno zostać uregulowane w umowie w postaci środków bezpieczeństwa. Takie regulacje między stronami można porównać do instrukcji zarządzania systemem informatycznym czy polityki bezpieczeństwa teleinformatycznego wdrożonych w organizacjach, które określają minimalne środki techniczne i organizacyjne dla bezpiecznego przetwarzania danych osobowych.

Przykładem może być np. przekazanie danych na nośniku cyfrowym. Wówczas można określić, że dane, które będą przekazane takiemu podmiotowi będą zaszyfrowane lub w inny sposób zabezpieczone przed odczytaniem danych np. w wyniku utraty (kradzieży, zagubienia) takiego nośnika.