Kako zagotoviti skladnost z GDPR na področju pogodbene obdelave?

,

Velika večina podjetij osebne podatke posreduje v obdelavo zunanjim partnerjem oziroma drugim podjetjem. Če se pogodbene obdelave poslužujete tudi v vašem podjetju, je ključnega pomena, da se zavarujete pred morebitno odgovornostjo in poskrbite, da bodo pogodbeni obdelovalci z osebnimi podatki ravnali skrbno in v skladu z vašimi pravili.

Uredba določa, da morata upravljavec in pogodbeni obdelovalec skleniti pogodbo z ustreznimi določili. Namen sklenjene pogodbe pa je predvsem jasno določeno razmerje med naročnikom in zunanjim obdelovalcem, zagotovitev varnosti ter razmejitev odgovornosti. V nadaljevanju vam predstavljamo nekaj smernic, ki vam bodo pomagale pri doseganju skladnosti na tem področju.

Kaj vse je pogodbena obdelava?

V sklopu pogodbene obdelave osebnih podatkov lahko najdemo številne storitve, najpogosteje pa so:

  • najem računovodskih storitev, ki vključuje osebne podatke (primer: obračun plač)
  • najem podatkovnega centra (oblak) v katerem bomo hranili osebne podatke,
  • najem kadrovskih storitev,
  • najem storitev klicnega centra,
  • storitve tržne analize,
  • najem storitev videonadzora,
  • vzdrževanje programskih rešitev, ki vključujejo osebne podatke itd.

Kaj mora pogodba vsebovati oziroma določati?

Ko sklepate pogodbo z zunanjim obdelovalcem bodite pozorni, da bo vaša pogodba zajemala vsaj naslednja določila (31. člen Uredbe):

  • da lahko obdelovalec obdeluje osebne podatke zgolj po vaših navodilih;
  • da obdelovalec zagotovi, da so osebe, pooblaščene za obdelavo osebnih podatkov, zavezane k varovanju tajnosti oziroma zaupnosti;
  • da obdelovalec izvede vse potrebne ukrepe za zagotavljanje varnosti osebnih podatkov;
  • da obdelovalec upošteva pogoje za uporabo storitev podpogodbene obdelave;
  • da je zmožen izpolniti svojo obveznost na zahtevke po upoštevanju pravic posameznikov;
  • da upošteva roke hrambe oziroma podatke vrne ali izbriše po koncu obdelave;
  • da vas opozori v kolikor so vaša pravila v nasprotju z Uredbo;
  • da upravljavcu zagotovi vse informacije in dokaze o pravilnem ravnanju z osebnimi podatki.

Katere so pogoste napake, ki se pojavljajo pri pogodbeni obdelavi in morate biti nanje pozorni?

Pri iskanju in določanju pogodbenega obdelovalca ter sklepanju pogodb bodite pozorni zlasti na spodje napake, ki se v praksi pogosto pojavljajo:

  • Upravljavec nima sklenjene pogodbe z pogodbenim obdelovalcem (zunanji izvajalec);
  • Pogodba obstaja, vendar je pomanjkljivo napisana in ne vsebuje konkretnih ukrepov za zavarovanje osebnih podatkov;
  • Upravljavec nima pregleda nad tem, storitve katerih pogodbenih obdelovalcev uporablja;
  • Upravljavec napačno oceni, da pri določenem zunanjem izvajalcu ne gre za pogodbeno obdelavo osebnih podatkov;
  • Pogodbeni obdelovalec obdeluje podatke tudi za lastne namene in tako postane upravljavec;
  • Pogodbeni obdelovalec uporablja storitve drugih (pod)pogodbenih obdelovalec brez vednosti upravljavca in drugo.

V kolikor se vam pri pripravi pogodb z zunanjimi izvajalci porodi kakšno vprašanje ali bi pri tem potrebovali pomoč, smo vam na voljo. Kontaktne podatke najdete na tej povezavi.