Jeżeli dane osobowe klientów przechowywane są w firmie hostingowej, a tak najczęściej bywa, to wówczas z hostingodawcą powinna zostać zawarta umowa o powierzeniu danych w zakresie ich przechowywania.

Jedną z możliwości jest zawarcie takiej klauzuli w umowie pierwotnej, zapewniającej dostęp do serwera i bazy danych.

Jeśli jednak taką umowę już podpisałeś, gdyż przykładowo prowadzisz od kilku lat blog, a teraz chcesz zbierać dane czytelników na newsletter lub zacząć sprzedawać produkty online, nic straconego.

Możesz zawrzeć dodatkową umowę wyłącznie na powierzenie danych osobowych. Poniżej przedstawiam najważniejsze postanowienia takiej umowy.

Jak napisać umowę o powierzenie danych

Podstawowy element umowy to określenie jej nazwy oraz wskazanie kiedy (data) zostaje zawarta umowa i gdzie (miejscowość)

Umowa o powierzenie danych osobowych zawarta dnia 19 lipca 2016 roku w Katowicach pomiędzy: …………. (dane podmiotu który umowę zawiera) reprezentowana przez ………………..(imię i nazwisko) zwany w dalszej części umowy „Zamawiającym” a …………………………(dane podmiotu który umowę zawiera) reprezentowana przez ………………..(imię i nazwisko) zwany w dalszej części umowyWykonawcą”, łącznie zwane „Stronami”

Paragraf 1 Powierzenie przetwarzania danych osobowych

W tej części należy dokładnie opisać, czego dotyczy umowa, czyli, że przedmiotem umowy jest powierzenie przetwarzania danych osobowych

  1. Zamawiający będąc administratorem danych w rozumieniu art. 7 pkt. 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: Ustawa) powierza Wykonawcy do przetwarzania bazy danych zbiór danych osobowych klientów, ….(wymienić).

  2. Powierzenie przetwarzania danych osobowych, o którym mowa powyżej, następuje wyłącznie w  zakresie  niezbędnym  w  celu  prawidłowej  realizacji  Umowy  przez  Wykonawcę. Wykonawca  nie  jest  uprawniony do jakiegokolwiek dalszego wykorzystania i udostępniania powierzonych  danych  osobowych  ani  do  przechowywania  i  sporządzania  kopii bezpieczeństwa powierzonych danych w zakresie, który nie jest konieczny do prawidłowej realizacji Umowy.

  3. Wykonawca oświadcza, że miejscem przetwarzania danych jest ………….

Paragraf 2 Zasady powierzonych do przetwarzania danych

W tej części określasz zasady, które będą was, jako strony obowiązywały. Warto tutaj również zawrzeć informację, czy Wykonawca może / nie może zlecić realizację umowy podwykonawcom.

1.Wykonawca zobowiązuje się wykonać wszelkie czynności wynikające z Umowy powierzenia i Ustawy z najwyższą starannością.

2.W przypadku wystąpienia zagrożeń mogących mieć wpływ na odpowiedzialność Zamawiającego za przetwarzanie powierzonych danych osobowych, Wykonawca zobowiązuje się niezwłocznie podjąć działania w celu ich usunięcia oraz natychmiast zawiadomić o nich Zamawiającego.

3.Zleceniobiorca może posługiwać się innymi osobami / podmiotami w celu należytego wykonywania niniejszej umowy, jedynie po uzyskaniu uprzedniej pisemnej zgody Zleceniodawcy.

 

Paragraf 3  Zabezpieczenie powierzonych danych osobowych

Tutaj opisujesz w jaki sposób Wykonawca zabezpieczy dane, przy użyciu jakich urządzeń to zrobi oraz  do czego się zobowiązuje.

Przykładowe uregulowania mogą brzmień następująco:

1.Wykonawca oświadcza, że będzie przetwarzał dane osobowe przy użyciu urządzeń i systemów informatycznych zapewniających odpowiedni poziom bezpieczeństwa.

2.Wykonawca zobowiązuje się podjąć środki zabezpieczające powierzone dane, o których mowa w art. 36-39 Ustawy oraz spełnić wymagania, o których stanowi art. 39a Ustawy. W szczególności zobowiązuje się do: ……(wymienić)

3.Wykonawca zobowiązuje się niezwłocznie zawiadomić Zamawiającego o:

-nieupoważnionym dostępie do danych osobowych lub innym naruszeniu przetwarzania danych osobowych

-wszczęciu przez GIODO u Wykonawcy kontroli sposobu przetwarzania powierzonych danych.

Paragraf 4 Uprawnienia i obowiązki

Ważne aby każda ze storn wiedziała za co odpowiada oraz jakie ma prawa. Ułatwi to współpracę i wykonanie umowy.

1.Wykonawca jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.

2.Zamawiający jest uprawniony do kontrolowania sposobu wykonania Umowy o powierzenie przez Wykonawcę oraz przestrzegania przepisów Ustawy i wydanych do niej aktów wykonawczych.

Paragraf 5 Czas na jaki została zawarta umowa oraz możliwość i okres wypowiedzenia

Warto także pamiętać o uregulowaniu terminu zwrotu Zamawiającemu danych osobowych oraz w jakiej formie ono nastąpi.

Na przykład: Wykonawca zobowiązuje się niezwłocznie, nie później niż w terminie 3 dni, zwrócić Zamawiającemu wszelkie powierzone dane osobowe i skutecznie usunąć je z nośników elektronicznych

Postanowienia końcowe

Zawierają postanowienia dotyczące zastosowania przepisów Kodeksu cywilnego oraz ustawy o ochronie danych osobowych w przypadkach nieuregulowanych w umowie powierzenia.

Następnie należy wskazać, że zmiany umowy wymagają formy pisemnej pod rygorem nieważności oraz sąd właściwy dla sporów wynikłych z umowy oraz, że umowa została sporządzona w jednobrzmiących egzemplarzach dla każdej ze stron.

Umowa winna być podpisana przez każdą ze stron umowy.