Umowy Powierzenia Przetwarzania Danych (UPD) — lista kontrolna i przewodnik dla IOD

UPD jest wymagana za kazdym razem, gdy administrator angazuje podmiot przetwarzajacy do przetwarzania danych osobowych w jego imieniu. Rozroznienie miedzy administratorem a podmiotem przetwarzajacym jest kluczowe: administrator okresla cele i sposoby przetwarzania, podczas gdy podmiot przetwarzajacy dziala wylacznie na podstawie instrukcji administratora. Typowe relacje z podmiotami przetwarzajacymi wymagajace UPD obejmuja: dostawcow hostingu w chmurze, platformy email marketingu, dostawcow uslug placowych, systemy CRM, narzedzia analityczne, firmy wsparcia IT z dostepem do danych osobowych i zewnetrzne centra obslugi klienta. Nie kazda relacja z dostawca wymaga UPD. Jesli firma korzysta z uslugi, w ramach ktorej nie sa przetwarzane dane osobowe (np. zakup materialów biurowych), UPD nie jest potrzebna. Podobnie, jesli dwie strony niezaleznie okreslaja cele przetwarzania, sa wspoladministratorami na mocy art. 26 i potrzebuja umowy o wspoladministrowanie zamiast UPD. Dla zewnetrznych IOD jednym z najczestszych ustalen audytowych jest niepelne pokrycie UPD. Klienci czesto maja 20-30 relacji z podmiotami przetwarzajacymi, ale tylko 10-15 UPD. Systematyczna inwentaryzacja wszystkich relacji z dostawcami jest niezbednym pierwszym krokiem.

Art. 28 ust. 3 RODO okresla minimalny zakres UPD. Kazda UPD musi zawierac: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaje danych osobowych i kategorie osob, ktorych dane dotycza, oraz obowiazki i prawa administratora. Ponadto UPD musi stanowic, ze podmiot przetwarzajacy: przetwarza dane wylacznie na udokumentowane polecenie administratora, zapewnia ze osoby upowaznione sa zwiazane obowiazkiem poufnosci, wdraza odpowiednie srodki techniczne i organizacyjne (art. 32), angazuje podprzetwarzajacych wylacznie za uprzednia zgoda i z rownowazna umowa, wspomaga administratora w realizacji wnioskow osob, wspomaga przy zglaszaniu naruszen ochrony danych i obowiazkach DPIA, usuwa lub zwraca dane po zakonczeniu umowy oraz udostepnia wszelkie informacje niezbedne do wykazania zgodnosci, w tym umozliwia audyty. Wiele organizacji korzysta z szablonów UPD dostarczanych przez podmiot przetwarzajacy (np. AWS, Google, Microsoft). Chociaz te szablony czesto pokrywaja obowiazkowe klauzule, moga zawierac postanowienia niekorzystne dla administratora — takie jak szerokie prawa do podprzetwarzania, ograniczony dostep do audytow lub minimalne limity odpowiedzialnosci. Zawsze przegladaj UPD dostarczane przez podmiot przetwarzajacy krytycznie.

Najczestszym bledem jest calkowity brak UPD dla istniejacych relacji z podmiotami przetwarzajacymi. Wiele organizacji podpisalo umowy z dostawcami SaaS na lata przed wejsciem RODO w zycie i nigdy nie dodalo UPD. Te luki naleza do najlatwiejszych ustalen audytowych dla organow nadzorczych. Innym czestym problemem sa nieaktualne UPD, ktore nie odzwierciedlaja biezacych czynnosci przetwarzania. UPD podpisana, gdy firma korzystala z uslugi do podstawowej poczty, moze nie obejmowac rozszerzonego zastosowania obejmujacego teraz automatyzacje marketingu, profilowanie i transgraniczny transfer danych. Zarzadzanie podprzetwarzajacymi jest czesto zaniedbywane. Na mocy art. 28 ust. 2 administrator musi autoryzowac podprzetwarzajacych — konkretnie lub ogolnie z prawem sprzeciwu. Wielu podmiotow przetwarzajacych utrzymuje listy podprzetwarzajacych, ktore regularnie sie zmieniaja (szczegolnie duzi dostawcy chmurowi). IOD powinni zapewnic, ze klienci maja proces przegladania zmian podprzetwarzajacych. Wreszcie, postanowienia dotyczace zakonczenia umowy sa czesto pomijane. Czy UPD okresla usuwanie czy zwrot danych? W jakim terminie? W jakim formacie? Te szczegoly staja sie krytyczne przy zmianie dostawcow lub zakonczeniu relacji z podmiotem przetwarzajacym.

Dla zewnetrznych IOD zarzadzajacych 10-20 klientami, z ktorych kazdy ma 15-30 relacji z podmiotami przetwarzajacymi, reczne sledzenie UPD staje sie niepraktyczne. To potencjalnie 200-600 UPD do monitorowania pod katem dat wygasniecia, zmian podprzetwarzajacych i luk w zgodnosci. Systematyczne podejscie zaczyna sie od centralnego repozytorium. Dla kazdego klienta prowadz liste wszystkich relacji z podmiotami przetwarzajacymi z odpowiednim statusem UPD: obowiazujaca, brakujaca, wygasla lub w trakcie przegladu. Powiaz kazda UPD z odpowiednimi czynnosciami przetwarzania w RCP — to tworzy pelny obraz zgodnosci. Ustaw alerty wygasniecia dla UPD na czas okreslony. Wiele UPD jest powiazanych z podstawowa umowa uslugowa i odnawia sie automatycznie, ale niektore maja okreslone terminy. Wygasla UPD oznacza przetwarzanie bez waznego porozumienia prawnego — wyrazne naruszenie RODO. Zestandaryzuj liste kontrolna przegladu UPD. Zamiast czytac kazda UPD od poczatku, sprawdz obowiazkowe elementy art. 28 ust. 3, ocen postanowienia dotyczace podprzetwarzajacych, zweryfikuj zabezpieczenia transferu danych (szczegolnie po Schrems II) i potwierdz warunki zakonczenia umowy. Trustee.eu pozwala sledzic to wszystko na klienta ze wskaznikami statusu i przypomnieniami o terminach.