RODO – Cyberlaw by Judyta

Zabezpieczenie interesów w umowie z dostawcą usług IT, w tym usług chmurowych, wymaga szczególnej uwagi co do zapisów dotyczących odpowiedzialności, bezpieczeństwa danych, dostępności usług i zgodności z prawem.

Oto kluczowe elementy, na które warto zwrócić uwagę przed zawarciem umowy:

Zakres usług

Przede wszystkim należy precyzyjnie określić przedmiot umowy, w tym zakres usług. Warto określić w umowie minimalny poziom jakości usług, np. dostępność systemu (np. 99%) oraz czas reakcji na awarie.

Bezpieczeństwo danych

Biorąc pod uwagę standardy bezpieczeństwa można wymagać, aby dostawca stosował uznane standardy bezpieczeństwa, np. ISO 27001 lub NIST. Warto zapewnić sobie szyfrowanie danych i częstotliwość wykonywania kopii zapasowych danych oraz to, w jakim czasie po awarii będą one przywracane.

Ochrona danych osobowych

Jeśli dostawca przetwarza dane osobowe w Twoim imieniu, konieczna jest umowa o powierzenie danych osobowych zgodna z RODO. Umowa powinna obejmować takie zagadnienia jak – cel i zakres przetwarzania danych, obowiązki dostawcy i możliwość przeprowadzania audytów zgodności.

Należy ustalić, gdzie fizycznie znajdują się serwery, ponieważ dane mogą podlegać różnym przepisom prawa w zależności od kraju ich przechowywania.

Odpowiedzialność i odszkodowania

Należy zwracać uwagę na limity odpowiedzialności, które podlegają negocjacjom, gdyż klauzule umowne mogą znacznie ograniczać odpowiedzialność dostawcy.

W razie pojawienia się szkód, warto przewidzieć odpowiedzialność dostawcy za szkody spowodowane utratą danych, przestojów systemu lub naruszenia bezpieczeństwa.

Dostępność i awarie

W umowie można wynegocjować maksymalny czas na przywrócenie działania systemu po awarii (Recovery Time Objective, RTO) oraz obowiązek dostawcy obejmujący przedstawianie raportów o stanie usług i informowanie o problemach na bieżąco.

Kontrola i audyty

W umowie można ustalić możliwość przeprowadzania audytów bezpieczeństwa oraz częstotliwość raportowania przez dostawcę zgodności z umową i standardami bezpieczeństwa.

Prywatność i przechowywanie danych

W umowie powinno się znaleźć uzgodnienie dotyczące dostępu do danych w każdym czasie, sposobu postępowania z danymi po zakończeniu współpracy i zasad przenoszenia danych do innego dostawcy.

Rozwiązania umowy i migracja danych

Ważnym elementem umowy jest ustalenie dotyczące sytuacji, kiedy każda ze stron może rozwiązać umowę. Warto wymagać, aby dostawca wspierał proces migracji danych w przypadku zakończenia współpracy i określić należy, jak długo będą świadczone usługi po rozwiązaniu umowy, by umożliwić płynne przejście do nowego dostawcy.

Postanowienia końcowe w umowie

W postanowieniach końcowych umowy zwykle określone jest prawo właściwe, które będzie regulować umowę oraz sądy właściwe do rozstrzygania sporów, co jest szczególnie istotne w przypadku dostawców zagranicznych.

Warto zadbać o to, aby dostawca posiadał odpowiednie ubezpieczenie od odpowiedzialności cywilnej i aby zobowiązał się do zachowania w poufności danych i informacji biznesowych (tajemnica przedsiębiorstwa).

W razie wątpliwości warto rozważyć przed podpisaniem umowy konsultację jej treści z prawnikiem.

Stan na dzień: 4 luty 2025 roku

Zdjęcie: freepik.com

Europejski Dzień Ochrony Danych Osobowych

Co roku 28 stycznia obchodzony jest Europejski Dzień Ochrony Danych Osobowych, który staje się pretekstem do analizy i oceny poziomu ochrony danych osobowych w Europie.

Ustanowiony został w 2007 roku przez Komitet Ministrów Rady Europy w rocznicę sporządzenia najstarszej umowy międzynarodowej dotyczącej ochrony danych osobowych, czyli Konwencji 108 Rady Europy z dnia 28 stycznia 1981 r. w sprawie ochrony osób w zakresie zautomatyzowanego przetwarzania danych osobowych.

Pierwsze miesiące obowiązywania RODO

Przy okazji przypadającego na 28 stycznia Europejskiego Dnia Ochrony Danych Osobowych czas na krótkie podsumowanie tego, co wydarzyło wskutek reformy ochrony danych osobowych, która rozpoczęła się 25 maja 2018 roku, kiedy obowiązywać zaczęło Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO).

Jak wskazuje Urząd Ochrony Danych Osobowych przez ostatnie 7 miesięcy wpłynęło ponad 3 tysiące skarg na nieprawidłowe przetwarzanie danych osobowych i już niedługo mogą pojawić się pierwsze kary pieniężne.

Duża część składanych skarg zawiera błędy formalne i skarżący wzywani są do uzupełnienia braków, co wydłuża postępowanie.

Warto zapamiętać, że aby móc złożyć skargę do UODO wcześniej musi zostać złożony sprzeciw samemu administratorowi danych.

Przedstawione statystyki UODO pokazują, że stopniowo zwiększa się świadomość społeczeństwa polskiego dotycząca ochrony danych osobowych.

Program edukacyjny „Twoje dane – Twoja sprawa”

Przy okazji Europejskiego Dnia Ochrony Danych Osobowych, Urząd promuje swój sztandarowy program edukacyjny.

Od 2009 roku Urząd prowadzi Ogólnopolski Program Edukacyjny „Twoje dane – twoja sprawa. Skuteczna ochrona danych osobowych. Inicjatywa edukacyjna skierowana do uczniów i nauczycieli”. Program ma na celu podniesienie kompetencji nauczycieli oraz kształtowanie świadomych i odpowiedzialnych postaw wśród uczniów.

Program „Twoje dane – twoja sprawa” kierowany jest do tych, którzy uważają, że odpowiednia wiedza i kształtowanie nawyków w obszarze ochrony prywatności i danych osobowych umożliwi dzieciom i młodzieży odpowiedzialne i bezpieczne funkcjonowanie we współczesnym świecie.

Stan na dzień: 28 stycznia 2019 roku

Foto: pixabay.com