1

Umowa powierzenia przetwarzania danych osobowych

Wstęp

Praktycznie każdy z nas korzysta z rozwiązań czy usług innych podmiotów. Usługi te są zarówno płatne, jak i nieodpłatne. Zakres wykorzystywanych aplikacji, zarówno w życiu prywatnym, jak i publicznym, jest bardzo szeroki. Większość firm ma strony internetowe, korzysta z usług hostingu, utrzymaniu infrastruktury.

Oprócz tego wiele podmiotów korzysta z usług biur rachunkowych, usług doradczych czy marketingowych. Większość z nas chętnie też sięga po darmowe rozwiązania np. firmy Google. Bardzo często w trakcie współpracy z takimi podmiotami czy korzystania z ich narzędzi dochodzi do przekazania danych osobowych osób trzecich (np. naszych pracowników, klientów czy subskrybentów newslettera), albowiem dane osobowe są nierozerwalnie związane z naszą codziennością.  

Kiedy zawrzeć umowę powierzenia przetwarzania danych osobowych?

W sytuacji korzystania z usług podmiotów trzecich każdy przedsiębiorca powinien zastanowić się, czy jego podwykonawca nie będzie miał dostępu do danych osobowych klientów. Wówczas dochodzi bowiem do przetwarzania danych osobowych. Przedsiębiorca będący administratorem danych osobowych w świetle przepisów RODO, który chce skorzystać z usług takiego podwykonawcy, powinien wraz podpisaniem umowy głównej podpisać umowę powierzenia przetwarzania danych osobowych. Oczywiście postanowienia odnoszące się do ochrony danych mogą zostać ujęte w samej umowie głównej.

Obowiązek zawierania umów powierzenia przetwarzania danych osobowych 

Jeżeli korzystasz z usług podmiotów trzecich, to musisz spełnić obowiązki informacyjne wobec osoby, których dane osobowe przetwarzasz. Inaczej rzecz ujmując, poinformować osobę, że oprócz Ciebie ktoś jeszcze będzie miał styczność z jej danymi osobowymi. Wynika to z art. 13 RODO. 

Jeżeli taka osoba ma dostęp do danych osobowych np. Twoich klientów, to musicie podpisać umowę, w której określacie zasady wykorzystywania oraz ochrony danych osobowych. Przed wykorzystaniem danej aplikacji czy usług podwykonawcy przedsiębiorca powinien przeanalizować, czy jego kontrahent spełnia wymagania ustalone przepisami RODO. Ciężar odpowiedzialności za dokonanie wyboru odpowiedniego podwykonawcy spoczywa na przedsiębiorcy, który jest administratorem danych osobowych.

Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

Art. 28 ust. 1 RODO

Wybór dostawcy usług

Administrator, decydując się na skorzystanie z podmiotu zewnętrznego, nadal decyduje o celu i sposobie przetwarzania danych osobowych, zaś wybrany przez niego podmiot przetwarzający jest uprawniony wyłącznie do dokonania powierzonych czynności, z którymi wiąże się także przetwarzanie danych osobowych w sposób i celu określonym przez administratora.

Warto pamiętać, że nawet brak równości stron w relacji pomiędzy małym administratorem a dużym usługodawcą, który będzie pełnił rolę podmiotu przetwarzającego, nie będzie uznawane za wystarczający powód (usprawiedliwienie) za wybór kontrahenta, który nie spełnia wymagań RODO.

Administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności, jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom RODO, w tym wymogom bezpieczeństwa przetwarzania.

Fragment motywu nr 81 RODO

Podstawy powierzenia danych osobowych

Przepisy RODO dopuszczają dwie alternatywne podstawy powierzenia przetwarzania danych osobowych. Jedną z nich jest umowa. Stronami umowy są administrator i podmiot przetwarzający. W praktyce umowa ta nazywana jest umową powierzenia danych osobowych czy też umową o powierzeniu przetwarzania danych osobowych. Są to najczęściej stosowane nazwy tej umowy, choć można się spotkać z terminami jak: 

  • umowa o powierzeniu danych;
  • umowa z procesorem, umowa powierzenia;
  • regulamin ochrony danych itp.

Bez znaczenia jest nazwa umowy, najważniejsze, by umowa zawierała elementy wynikające z przepisów o ochronie danych osobowych.

Elementy umowy powierzenia przetwarzania danych

Przepisy RODO określają elementy, które powinna zawierać każda umowa powierzenia przetwarzania danych osobowych. Do elementów tych zalicza się:

  1. przedmiot przetwarzania,
  2. czas trwania przetwarzania,
  3. charakter i cel przetwarzania,
  4. rodzaj danych osobowych,
  5. kategorie osób, których dane dotyczą,
  6. obowiązki i prawa administratora,
  7. zobowiązania podmiotu przetwarzającego.  

To administrator powinien zadbać, aby umowa powierzenia określała obowiązki podmiotu przetwarzającego. Do obowiązków należy zaliczyć:

  • działanie wyłącznie na udokumentowane polecenie administratora;
  • zagwarantowanie, że osoby upoważnione do przetwarzania zobowiążą się do zachowania tajemnicy, chyba że podlegają one takiemu obowiązkowi z mocy przepisów ustawowych;
  • wdrożenie odpowiednich środków technicznych i organizacyjnych;
  • przestrzeganie warunków korzystania z usług innego podmiotu przetwarzającego;
  • wsparcie administratora w realizacji praw podmiotów danych;
  • wsparcie administratora w realizacji obowiązków odnoszących się do bezpieczeństwa przetwarzania, zgłaszania naruszeń ochrony danych organowi nadzorczemu, zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, oceny skutków dla ochrony danych oraz uprzednich konsultacji;
  • umożliwienie poddania się kontroli (audytów) prowadzonej przez administratora w celu wykazania spełnienia nałożonych na podmiot przetwarzający w umowie obowiązków oraz współdziałania w czasie jej trwania;
  • określone postępowanie z danymi osobowymi po zakończeniu przetwarzania.

Wskazane powyżej elementy stanowią minimum, jakie musi spełniać przedmiotowa umowa. Nie wyklucza to jednak uregulowania innych kwestii odnoszących się do procesu przetwarzania danych osobowych. Na przykład ustalenie rozkładu odpowiedzialności za niewykonanie lub nienależyte wykonanie umowy, szczegółowe określenie sposobu kontroli, możliwości rozwiązania stosunku prawnego itp.

Obowiązki niezgodne z prawem

Administrator nie może nakładać na podmiot przetwarzający niezgodnych z przepisami prawa obowiązków czy poleceń. W przypadku, gdy w ocenie podmiotu przetwarzającego wydane przez administratora polecenie stanowi naruszenie przepisów RODO lub innych przepisów Unii lub państwa członkowskiego o ochronie danych, podmiot przetwarzający jest zobowiązany niezwłocznie poinformować o tym administratora (art. 28 ust. 3 lit. 4 RODO).

Forma umowy powierzenia przetwarzania danych osobowych

Umowa powierzenia przetwarzania danych osobowych musi mieć formę pisemną Wymóg pisemności spełnia również forma elektroniczna w rozumieniu RODO. Forma elektroniczna jest odpowiednikiem polskiej formy dokumentowej. Dzięki możliwości skorzystania z takiej formy istnieje możliwość zawarcia skutecznej umowy powierzenia przetwarzania danych osobowych w drodze akceptacji regulaminu czy samodzielnego jej wygenerowania na platformie podmiotu przetwarzającego i tak najczęściej się dzieje.

Podsumowanie

Przedsiębiorca będący administratorem danych osobowych ma obowiązek dbania o dane osobowe, które przetwarza. Jednym z prawnych środków ochrony danych osobowych jest zawieranie umów powierzenia przetwarzania danych osobowych. Elementy umowy powierzenia przetwarzania danych osobowych są określone przepisami RODO. 


Słowniczek pojęć

RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE z 2016 r., L 119/1 ze zm.)

Administrator – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

Podmiot przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.


Niniejszy artykuł ma charakter wyłącznie edukacyjny i nie stanowi porady prawnej ani opinii prawnej. Zapoznaj się z notą prawną.

Jeżeli potrzebujesz indywidualnej pomocy związanej dostosowaniem się do zmian prawnych, napisz na napisz@tudzialprawny.pl

Stan prawny na dzień: 16.05.2020 r. Aktualizacja: 18.01.2024 r.


Bibliografia

  1. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE z 2016 r., L 119/1 ze zm.).
  2. Grupa Robocza Art. 29, Opinia 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający”, przyjęta 16 lutego 2010 r. (WP 169), https://archiwum.giodo.gov.pl/pl/1520057/3595, 16.05.2020 r.
  3. N. Stojanowska, Outsourcing usług w kancelarii komorniczej a RODO, https://old.currenda.pl/2019/04/outsourcing-uslug-w-kancelarii-komorniczej-w-rodo/, 16.05.2020 r.

Źródło zdjęcia: Karolina Grabowska, Pexels, https://www.pexels.com/pl-pl/zdjecie/rece-znak-dlugopis-pisanie-5387258/, dostęp: 14.03.2024 r.