Aby zapewnić bezpieczeństwo danych konsumentów, Unia Europejska (UE) wdrożyła rygorystyczne przepisy dotyczące prywatności i bezpieczeństwa, znane jako ogólne rozporządzenie o ochronie danych (RODO). RODO definiuje i egzekwuje prawa obywateli UE w odniesieniu do ich danych osobowych. Wprowadza standardy odpowiedzialności, bezpieczeństwa i przejrzystości w wykorzystywaniu tych danych.
Globalne firmy działające w Unii Europejskiej lub zajmujące się danymi osobowymi z UE muszą zrozumieć , jak wpłynie na nie RODO i jak zachować zgodność z RODO.
Jednym z aspektów tej zgodności jest wdrożenie umowy o przetwarzaniu danych (DPA). Umowa o przetwarzanie danych RODO określa szczegóły, zasady, prawa i obowiązki związane z czynnościami przetwarzania danych. Pomaga to zapewnić zgodność z przepisami firmy, zabezpieczyć dane oraz zapewnić konsumentom ochronę i zadowolenie.
Niniejszy przewodnik zawiera bliższe informacje na temat działania DPA i tego, co należy uwzględnić w DPA.
Czym jest umowa DPA w rozumieniu RODO?
Umowa o przetwarzaniu danych to umowa podpisana pomiędzy administratorami danych a podmiotami przetwarzającymi dane , która będzie przetwarzać ich dane. Jest to wymagane do pełnej zgodności z RODO.
Umowa o ochronie danych określa charakter, cel i czas trwania działań związanych z przetwarzaniem danych, które będą miały miejsce. Określa również rodzaj danych osobowych, które mają być przetwarzane oraz kategorie osób, do których dane te należą. Określa on prawa i obowiązki administratora. Może określać zastosowanie technicznych środków bezpieczeństwa, takich jak określony poziom szyfrowania, które muszą być wdrożone.
Umowa DPA jest prawnie wiążąca, a administrator danych i podmiot przetwarzający muszą jej przestrzegać lub grozić poważnymi karami.
Główną zaletą DPA jest to, że zapewnia ona kwalifikacje i niezawodność podmiotu przetwarzającego dane. Firmy muszą wiedzieć, że ich dane znajdują się w dobrych rękach, a ich dane są prywatne i zabezpieczone przed niepowołanym dostępem. DPA pomaga zapewnić te gwarancje.
RODO i jego wymogi DPA prawdopodobnie w przyszłości będą miały znaczący wpływ na działalność biznesową. Transakcje biznesowe mogą ulec zmianie, ponieważ gromadzenie danych osobowych staje się coraz bardziej ograniczone, niezbędne staje się informowanie o zbieraniu i przechowywaniu danych, a relacje z dostawcami zewnętrznymi wymagają bardziej rygorystycznych umów. Pojedyncze firmy i ich działy HR będą odczuwać duży wpływ, gdy dostosują swoje procesy do wymogów RODO.
Zaletą wymogów RODO jest to, że zaufanie może rozkwitać w biznesie, ponieważ ludzie stają się bardziej pewni prywatności i ochrony swoich danych.
Kiedy wymagana jest umowa o przetwarzaniu danych?
Czy potrzebujesz umowy o przetwarzaniu danych? Możesz, jeśli przetwarzasz dane osobowe na terenie UE lub z UE.
Zgodnie z RODO dokument DPA jest obowiązkowy, gdy osoba lub organizacja przekazuje dane osobowe zewnętrznemu usługodawcy w celu świadczenia usługi współpracy. Wszystkie strony działające w charakterze podmiotów przetwarzających dane muszą podpisać umowy DPA z administratorami danych.
Na przykład w UE usługa hostująca witrynę internetową musi podpisać umowę DPA z firmą, do której należy witryna internetowa. Firma, która przetwarza dane osobowe w celu zapewnienia ukierunkowanego marketingu konsumenckiego, musi również podpisać umowę DPA.
Poniżej znajduje się kilka innych typowych usług biznesowych i scenariuszy, które wymagają umów DPA:
- Outsourcing zarządzania pocztą e-mail
- Rozwiązania techniczne do przetwarzania danych w zakresie księgowości finansowej i płacowej
- Usługi tworzenia kopii zapasowych danych, za pośrednictwem serwerów fizycznych lub w chmurze
- Gromadzenie lub digitalizacja danych za pośrednictwem zewnętrznego dostawcy usług
- Utylizacja starego sprzętu zawierającego dane wrażliwe
W niektórych przypadkach RODO może wymagać stosowania umów DPA w przypadku firm spoza Europy. Wymóg ten wchodzi w życie za każdym razem, gdy w grę wchodzą dane UE. Na przykład firma z siedzibą w Kanadzie może podlegać wymogowi DPA, jeśli przetwarza dane dotyczące obywateli UE.
Kiedy DPA nie jest wymagane?
Kilka konkretnych scenariuszy nie wymaga DPA. Posiadają wbudowane zabezpieczenia, które sprawiają, że ochrona DPA nie jest potrzebna. Zastanów się nad następującymi kwestiami, aby lepiej zrozumieć obowiązki Twojej firmy w tych okolicznościach:
- Partnerstwo z grupami zawodowymi, które mają wymagania dotyczące poufności: W wielu zawodach najlepsze praktyki są dla dostawców usług, aby dysponować specyficznymi dla branży, dostosowanymi umowami o zachowaniu poufności, które obejmują wszystkie środki bezpieczeństwa i wymagania dotyczące prywatności, których wymagałby DPA. Kilka zawodów, które na ogół wykorzystują te umowy o zachowaniu poufności, to prawo, doradztwo podatkowe i audyty finansowe. Wiele usług opieki zdrowotnej zazwyczaj posiada własne rygorystyczne gwarancje poufności.
- Usługi portalu: Usługi, które jedynie łączą osoby lub podmioty, są zazwyczaj zwolnione z wymogów DPA. Te profesjonalne usługi dopasowywania są tak przejściowe, że umowa DPA nie przyniesie żadnych korzyści. Na przykład rekruterzy należą do tej kategorii. Łączą jedynie osoby poszukujące pracy z firmami szukającymi utalentowanych nowych członków zespołu. Ten scenariusz sprawia, że umowa DPA z rekruterem jest niepotrzebna.
- Współpraca z agencjami windykacyjnymi: agencje windykacyjne uzyskują dostęp do osobistych informacji finansowych i medycznych. Ponieważ agencje windykacyjne są oddzielone od pierwotnych wierzycieli i pobierają dług dla własnego zysku, są zwolnione z wymogów DPA. Gdyby pracowali w imieniu pierwotnych wierzycieli, agencje windykacyjne musiałyby podpisać umowy DPA.
- Wspólne zarządzanie danymi z wielu firm: w niektórych przypadkach firmy pracują jako grupa, aby zarządzać gromadzeniem danych. Ten scenariusz często ma miejsce, gdy firmy mają wspólny dostęp do danych od dostawców, produktów lub potencjalnych klientów. Choć firmy mogą być konkurentami, wykorzystują te same dane do tych samych ogólnych celów. Skala wykorzystania danych oznacza zazwyczaj, że DPA nie jest obowiązkowa.
- Badania kliniczne: Duże kliniczne badania farmaceutyczne zazwyczaj nie wykorzystują DPA ze względu na liczne czynniki, z którymi się one wiążą. Lekarze, ośrodki badawcze i sponsorzy mają dostęp do danych uczestników i przetwarzają je w różny sposób, w zależności od ich potrzeb. Zgromadzone dane służą również różnym celom w trakcie badania klinicznego. W takich okolicznościach Umowy powierzenia przetwarzania danych zasadniczo nie mają zastosowania.
Kto jest administratorem danych?
Każda umowa DPA ma miejsce między administratorem danych a podmiotem przetwarzającym dane. Administrator danych osobowych to organizacja lub osoba fizyczna, która określa, jak i dlaczego przetwarzać dane osobowe. Jeśli Twoja firma zdecyduje się wysłać dane do strony trzeciej w celu utworzenia kopii zapasowej na swoich serwerach, jest administratorem danych.
Decydującą cechą administratora danych jest władza decyzyjna. Administrator danych osobowych podejmuje nadrzędne decyzje dotyczące przyczyn gromadzenia danych i sposobów przetwarzania danych osobowych .
W większości scenariuszy administratorem danych jest firma lub organizacja. Podmiot przetwarzający dane osobowe jest odrębnym podmiotem, który zawiera umowy z firmą. Osoba fizyczna, taka jak jednoosobowy właściciel lub pracownik samozatrudniony, może również być administratorem danych, jeśli ta osoba podejmie decyzje dotyczące gromadzenia i przetwarzania danych osobowych.
Kto jest podmiotem przetwarzającym dane?
Podmiot przetwarzający dane osobowe to strona trzecia, która przetwarza dane dla administratora danych osobowych. W powyższym scenariuszu, jeśli Twoja firma zdecyduje się wysłać Twoje dane do kopii zapasowej, firma, która świadczy usługi kopii zapasowych, jest podmiotem przetwarzającym dane.
Podmiot przetwarzający dane może przyjmować wiele form. Może to być firma, osoba fizyczna lub organ publiczny. Odpowiednie kryterium jest to, czy dana osoba lub podmiot przetwarza dane w imieniu administratora danych.
Co obejmuje dokument DPA?
Artykuły RODO określają28-36, jakie zobowiązania umowne są obowiązkowe dla podmiotu przetwarzającego dane zgodnie z zasadami RODO dotyczącymi DPA. Poniżej znajdują się niektóre z wymaganych klauzul DPA:
1. Dokładne zestawienie szczegółów przetwarzania danych
Ustawa DPA powinna zawierać szczegółowe informacje na temat każdego aspektu przetwarzania danych. Ustawa DPA powinna zawierać jasne informacje na następujące tematy:
- Rodzaj danych osobowych, które mają być przetwarzane
- Przedmiot danych
- Kategorie osób, których dane dotyczą
- Cel i charakter przetwarzania
- Przewidywany czas przetwarzania danych
- Podstawa prawna przetwarzania danych osobowych
- Zwrot lub usunięcie danych osobowych po zakończeniu przetwarzania
2. Prawa i obowiązki administratora danych i podmiotu przetwarzającego
Określając prawa i obowiązki obu stron, DPA zapewnia jasność co do tego, kto kontroluje przetwarzanie danych.
Ustawa o ochronie danych powinna wyraźnie stwierdzać, że podmiot przetwarzający dane musi przetwarzać dane zgodnie z życzeniami i specyfikacjami administratora danych. Powinien on określać, że administrator, a nie podmiot przetwarzający, zachowuje pełną kontrolę nad danymi i co się z nimi dzieje.
Ustawa DPA powinna nakazać podmiotowi przetwarzającemu dane przetwarzanie danych wyłącznie zgodnie z bezpośrednimi instrukcjami administratora danych, odbiegając od tych instrukcji tylko wtedy, gdy wymaga tego prawo UE lub prawo jednego z państw członkowskich.
3. Wymagane środki poufności dla podmiotu przetwarzającego dane
Ustawa DPA powinna określać protokoły, których powinien przestrzegać podmiot przetwarzający dane, aby zapewnić poufność danych osobowych.
Na przykład podmiot przetwarzający dane musi wymagać od stałych pracowników, pracowników tymczasowych i podwykonawców podpisania umów o zachowaniu poufności, zanim będą mogli rozpocząć przetwarzanie danych osobowych. Jedynym momentem, w którym umowa o zachowaniu poufności staje się niepotrzebna, jest sytuacja, w której ustawowy obowiązek nakłada na podmiot przetwarzający obowiązek zapewnienia poufności.
4. Wymagane protokoły techniczne i organizacyjne dla bezpieczeństwa informacji
Ustawa DPA powinna określać środki bezpieczeństwa, które musi wdrożyć podmiot przetwarzający dane, w tym, w stosownych przypadkach, takie środki:
- Szyfrowanie danych
- Pseudonimizacja osoby, której dane dotyczą
- Protokoły zapewniające poufność, dostępność, odporność i bezpieczeństwo danych we wszystkich systemach przetwarzania danych
- Procesy przywracania dostępu do danych osobowych po ataku lub naruszeniu
- Regularny program testowania i oceny skuteczności wszystkich środków bezpieczeństwa
Wiele podmiotów przetwarzających może chcieć uzyskać formalne certyfikaty lub sporządzić oficjalne kodeksy postępowania poświadczające ich wdrożone protokoły. Takie środki pomagają zapewnić, że ich przetwarzanie danych jest w pełni zgodne z RODO.
5. Warunki umów z podwykonawcami
Ustawa DPA powinna również określać wymagania, jakie musi nałożyć podmiot przetwarzający dane na swoich podwykonawców. Podmiot przetwarzający dane musi na przykład przestrzegać następujących zasad i najlepszych praktyk:
- Zatrudnianie podwykonawców wyłącznie za wyraźną zgodą i upoważnieniem administratora danych
- Sporządzanie i podpisywanie umów nakładających na podwykonawcę te same wymogi bezpieczeństwa danych, których musi przestrzegać sam podmiot przetwarzający dane
- Zapewnienie zgodności podwykonawcy z wymogami dotyczącymi ochrony danych
- Informowanie administratora danych o wszelkich zmianach dotyczących podwykonawców i zapewnianie administratorowi czasu na udzielenie odpowiedzi
6. Zobowiązania do współpracy podmiotu przetwarzającego dane
Ustawa DPA powinna określać, kiedy i w jaki sposób podmiot przetwarzający dane musi współpracować z administratorem danych. Na przykład podmiot przetwarzający dane musi współpracować w celu rozwiązywania wniosków o dostęp do danych. Podmiot przetwarzający dane musi również współpracować w zakresie ochrony prywatności i praw osób, których dane dotyczą, w szczególności spełniając następujące wymagania:
- Zapewnienie bezpieczeństwa danych osobowych
- Niezwłoczne powiadamianie organów i osób, których dane dotyczą, o naruszeniach ochrony danych osobowych
- Przeprowadzanie ocen wpływu na ochronę danych (DPIA) w razie potrzeby
- Konsultowanie się z odpowiednimi organami w przypadku wystąpienia poważnego ryzyka związanego z danymi
Podmiot przetwarzający dane musi również umożliwić administratorowi danych przeprowadzanie audytów zgodności podczas przetwarzania. W trakcie audytów podmiot przetwarzający musi niezwłocznie przekazać administratorowi wszystkie istotne informacje, aby wykazać, że spełnił swoje obowiązki w zakresie zgodności wynikające 28 z art. RODO.
Najlepsze praktyki są również przeznaczone dla podmiotu przetwarzającego do prowadzenia ewidencji działań związanych z przetwarzaniem w celu wykazania zgodności z RODO.
Co się dzieje po naruszeniu danych w ramach Umowy o ochronie danych?
Jeśli dojdzie do naruszenia bezpieczeństwa danych, zaangażowane firmy muszą podjąć konkretne, natychmiastowe działania. Twoja firma musi powiadomić odpowiedni organ nadzorczy w ciągu 72 godzin, jeśli naruszenie stwarza poważne ryzyko.
Jeśli naruszenie stanowi bardzo wysokie ryzyko dla osób, których to dotyczy, Twoja firma musi zazwyczaj powiadomić również te osoby. Jeśli jednak Twoja firma stosuje już skuteczne techniczne i organizacyjne protokoły ograniczania ryzyka, powiadomienie może nie być konieczne.
Wyobraźmy sobie na przykład, że firma obsługująca karty kredytowe poniosła naruszenie bezpieczeństwa danych z powodu ataku na serwery, na których przechowywała swoje dane. Osobiste informacje finansowe klientów zostały naruszone. Ich imiona i nazwiska, adresy domowe, dodatkowe dane kontaktowe, dane finansowe oraz szczegóły rodzajów płatności dokonywanych za pomocą kart kredytowych zostały upublicznione.
Firma hostująca serwery musiałaby powiadomić władze o naruszeniu w ciągu 72 godzin. Musiałoby to również powiadomić wystawcę karty kredytowej.
Firma prawdopodobnie musiałaby poinformować konsumentów, ponieważ ujawnienie ich danych osobowych może narazić ich na ryzyko. Naruszenie to może również prowadzić do ujawnienia wrażliwych, chronionych informacji zdrowotnych konsumentów, jeśli dokonali płatności medycznych za pomocą kart kredytowych.
Jakie są kary za nieprzestrzeganie RODO?
W przypadku naruszenia bezpieczeństwa danych firma, która dopuści się naruszenia, będzie podlegać postępowaniu dyscyplinarnemu. Prawdopodobne naruszenie otrzymuje jedynie ostrzeżenie. Potwierdzone incydenty niezgodności mogą podlegać jednej lub większej liczbie następujących kar:
- Formalna nagana
- Tymczasowy lub trwały zakaz przetwarzania danych
- Grzywny w wysokości do milionów EUR20 lub 4 procent rocznych globalnych przychodów firmy
Zatrudnij specjalistów ds. bezpieczeństwa danych w swoim zespole z Globalization Partners
Gdy budujesz międzynarodowe zespoły skoncentrowane na bezpieczeństwie danych, współpracuj z Globalization Partners . Nasze zespoły specjalistów pomogą Ci zrozumieć przepisy dotyczące umów o przetwarzaniu danych, które mają zastosowanie do Twojej firmy.
Posiadanie w zespole specjalistów ds. ochrony danych i innych specjalistów ds. prawnych jest niezbędne do zachowania zgodności z przepisami DPA. Jako globalny pracodawca formalny (EOR) Globalization Partners pomaga zatrudniać i opłacać międzynarodowe talenty, których potrzebujesz, aby odnieść sukces. Bardzo poważnie traktujemy prywatność danych i możemy pomóc w przestrzeganiu lokalnych przepisów prawa pracy oraz zabezpieczeniu informacji poufnych w trakcie skalowania firmy na skalę międzynarodową.
W Globalization Partners pomagamy przyspieszyć proces zatrudniania. Korzystając z naszej kompleksowej Global Employment Platform, możesz zatrudniać i wdrażać nowych członków swojego zespołu za pomocą zaledwie kilku kliknięć, oszczędzając czas i usprawniając swoje podejście do wyzwań związanych z rozwojem międzynarodowej firmy.
Poproś o ofertę już dziś lub skontaktuj się z nami , aby dowiedzieć się więcej o zatrudnianiu specjalistów ds. bezpieczeństwa danych za pośrednictwem naszej platformy.
