27 lutego 2018
Arkadiusz Szczudło

Umowy powierzenia pod RODO – gdy udostępniasz dane osobowe

Dość często zdarza się, że prowadzący działalność udostępnia w jakiś sposób dane osobowe swoich klientów, kontrahentów lub współpracowników innym podmiotom w ramach ourtsourcingu. W sytuacji, gdy podmiot trzeci korzysta z danych osobowych, których nie zebrał samodzielnie, powinien mieć do tego jakąś podstawę.

Analizie poddam dzisiaj umowę powierzenia pod RODO oraz wyjaśnię, czym jest owe powierzenie.

Możesz obejrzeć także nagranie wideo z mojego live – Kawka z prawnikiem #live nr 21

lub odsłuchać podcastu audio w swojej ulubionej aplikacji oraz poniżej:

Ten odcinek znajdziesz także na Spotify, Apple Podcast lub w Twojej innej ulubionej aplikacji.

Podsumowanie na start

Nie chcesz czytać całego artykułu? Zapoznaj się z naszym podsumowaniem poniżej:

Powierzenie przetwarzania danych osobowych ma miejsce wtedy, gdy udostępniasz te dane komuś innemu, który przetwarza je w Twoim imieniu.
Podmiot, który decyduje o wykorzystaniu danych osobowych, jest ich administratorem. Możliwa jest sytuacja, gdy o wykorzystaniu danych decyduje dwóch lub więcej współadministratorów.
Z powierzeniem przetwarzania danych osobowych będziesz miał do czynienia wielokrotnie (np. w relacji z hostingodawcą, biurem księgowym). Jeżeli podmiot, któremu powierzasz dane, nie jest członkiem Twojego personelu, powinieneś zawrzeć z nim odpowiednią umowę.
Umowa powierzenia przetwarzania danych powinna w szczególności określać:
- przedmiot przetwarzania,
- czas trwania przetwarzania,
- charakter i cel przetwarzania,
- rodzaj danych osobowych,
- kategorię osób, których dane dotyczą,
- obowiązki i prawa administratora,
- obowiązki podmiotu przetwarzającego (wymienia je art. 28 ust. 3 RODO).
Przed sporządzeniem umowy, dokładnie prześledź procesy związane z przetwarzaniem danych osobowych, jakie zachodzą w danej działalności.

Powierzenie przetwarzania danych osobowych

Powierzenie przetwarzania danych osobowych to nic innego, jak udostępnienie komuś innemu danych osobowych. Udostępnienie, które jest w pełni uregulowane przez administratora – tj. to on decyduje jakie dane udostępnia, w jakim zakresie, po co i w jakim celu. Najistotniejsze jest to, że podmiot trzeci ma przetwarzać te dane osobowe w imieniu administratora.

Kim jest administrator danych osobowych

Administratorem danych osobowych jest osoba, która zarządza danymi osobowymi. Zbiera je w sposób bezpośredni lub pośredni do swojej bazy. To często właśnie administratorowi danych udziela się zgody na przesyłanie informacji marketingowych. Administrator decyduje po co i kiedy wykorzysta dane osobowe, oraz w jakim zakresie.

Pojęcie administratora nie zmienia się w sposób znaczący pod rządami nowych przepisów Ogólnego rozporządzenia o ochronie danych (RODO lub po angielsku GDPR) w stosunku do tego, co obowiązuje na dzień dzisiejszy.

Jeżeli doszłoby do sytuacji, gdzie ten podmiot trzeci przekroczy zakres swoich uprawnień, stanie się niejako administratorem tych danych osobowych w zakresie, który nie dotyczy celu, jaki ustalił pierwotny administrator. Będzie ponosił odpowiedzialność za przetwarzanie tych danych tak, jak sam administrator. Podobnie byłoby przy sprzedaży danych osobowych.

W innym wypadku, gdy równocześnie, wspólnie i za porozumieniem zaczniecie z drugim podmiotem decydować o sposobie i celu korzystania z danych osobowych, będziecie współadministratorami. Jeżeli chcecie ułożyć taką relację, warto to zrobić w formie umowy. O tym Wam wkrótce z pewnością napiszę.

Kiedy powierzamy przetwarzanie danych osobowych

Sytuacji, gdzie administrator powierzy przetwarzanie danych osobowych, które sam zebrał jest bardzo wiele. Powierzenie wystąpić może w relacji m.in. z:

hostingodawcą/serwerownią,
biurem księgowym,
współpracownikami na umowach cywilnoprawnych,
podwykonawcami.

Zależy to od sytuacji, czy dochodzi do przetwarzania danych osobowych przez tę osobę, czy dana osoba może zostać uznana za personel lub, czy mówimy o zewnętrznym podmiocie trzecim.

To właśnie z tym podmiotem trzecim administrator musi zawrzeć umowę powierzenia przetwarzania danych osobowych.

W sytuacji, gdy mówi się o pracownikach na umowach o pracę lub współpracownikach na umowach cywilnoprawnych, których można zakwalifikować jako personel administratora, można takiej osobie udzielić odpowiedniego upoważnienia – zamiast zawierać z nią odrębnej umowy powierzenia.

Umowa powierzenia – z czego się składa

Ogólne rozporządzenie o ochronie danych wskazuje szereg obowiązków, jakie musimy spełnić jako podmiot przetwarzający – a w związku z tym, jakie podstawowe elementy musi zawierać umowa powierzenia:

przedmiot przetwarzania,
czas trwania przetwarzania,
charakter i cel przetwarzania,
rodzaj danych osobowych,
kategorię osób, których dane dotyczą,
obowiązki i prawa administratora,
obowiązki podmiotu przetwarzającego.

Zgodnie z art. 28 ust. 3 RODO umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:

przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
podejmuje wszelkie środki bezpieczeństwa wymagane na mocy art. 32 (RODO);
przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w art. 28 ust. 2 i 4 (RODO);
biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;
uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 (RODO);
po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

Dodatkowo, w związku z obowiązkiem określonym w lit. h) powyżej podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.

Jak widać powyżej, RODO nakłada znacznie więcej obowiązków na administratorów, jeżeli chodzi o konstrukcję samej umowy powierzenia. Dla zestawienia, poniżej przedstawiam z jakich elementów powinna składać się umowa powierzenia pod aktualnym prawem (Ustawa o ochronie danych osobowych na dzień: 16.02.2018):

Art. 31 UODO:
Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.
Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39 (UODO), oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a (UODO). W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.
W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

Wspomniałem o minimalnych wymaganiach – otóż, RODO wskazuje zakres, który powinna obejmować umowa powierzenia, jednakże nic nie stoi na przeszkodzie, by umowa kształtowała w szerszy sposób, jeszcze bardziej szczegółowy zobowiązanie między administratorem a podmiotem, któremu powierzamy przetwarzanie danych osobowych.

Umowa powierzenia w praktyce

Wiedząc już z jakich elementów umowa powierzenia powinna się składać, wystarczy, że udzielisz odpowiedzi na następujące pytania np.:

jakie dane będę powierzał określonemu podmiotowi,
jakie działania podmiot ten będzie mógł prowadzić przy użyciu tych danych,
przez jaki czas będzie on mógł przetwarzać dane,
itd.

Sporządzenie umowy powierzenia wymaga zaznajomienia się z procesami zachodzącymi w danej działalności. Całe RODO, jak pewnie już wiesz, ma m.in. na celu uświadomienie przedsiębiorców pod kątem bezpieczeństwa oraz poznania problematyki przetwarzana danych osobowych.

Porozmawiaj z ekspertem

Stoisz przed wyzwaniem? Szukasz najlepszego rozwiązania dla swojego problemu, który opisałem w tym artykule? Sprawdź, czy jestem w stanie Ci pomóc.

Napisz do mnie poprzez poniższy formularz i umów się na rozmowę.

Uzupełnij poniższy formularz, jeżeli np.:

masz pytania z zakresu o którym pisałem w tym artykule,
szukasz najlepszego rozwiązania dla swojego problemu,
chcesz wiedzieć, jak wygląda współpraca z nami, terminy oraz koszty.

Pierwszy kontakt jest bezpłatny i ma on na celu ustalenie zakresu potencjalnej naszej pomocy oraz Twoich pytań i wątpliwości.

Po przesłaniu formularza skontaktujemy się z Tobą w ciągu 24h w celu ustalenia dalszych szczegółów.

Przed wysłaniem wiadomości zapoznaj się z naszą Polityką prywatności.

Ta strona jest chroniona przez reCAPTCHA.
Mają zastosowanie Polityka prywatności oraz Regulamin serwisu Google.

Forma pisemna umowy powierzenia

W obowiązującym do maja br. stanie prawnym umowę powierzenia można zawrzeć wyłącznie w formie pisemnej. Pomimo tego wymogu, wielkie korporacje nie wysyłały oczywiście oryginalnych wersji umów do każdego swojego klienta tylko podpisane skany. Skan formą pisemną jednak nie jest.

RODO wychodzi naprzeciw użytkownikom Internetu. Umowę powierzenia można zawrzeć w formie pisemnej, w tym także elektronicznej. Pomimo tego, że w polskim ustawodawstwie mamy wskazanie formy elektronicznej, na formę elektroniczną pod RODO w tym wypadku trzeba patrzeć europejsko – czyli bardzo szeroko.

Kończąc – dane osobowe, umowa powierzenia oraz Ogólne rozporządzenie o ochronie danych to aspekty prowadzenia działalności, których nie można pominąć, jeżeli przetwarzacie dane osobowe w jakikolwiek sposób. Udostępniając podmiotom trzecim dane osobowe, które otrzymaliście od klientów należy odpowiednio zabezpieczyć poprzez zawarcie stosownej umowy powierzenia.

Pomóż nam dotrzeć do innych osób! Udostępnij ten artykuł dalej, niech więcej osób uzyska dzięki niemu potrzebną wiedzę. Dziękujemy!

Arkadiusz Szczudło

Jestem adwokatem, Partnerem Zarządzającym w kancelarii Creativa Legal, wiceprezesem fundacji Creativa Education, mentorem i twórcą internetowym. Specjalizuję się w prawie nowych technologii oraz prawnym wsparciu biznesu – w tym w szczególności e-commerce i biznesu online. Jestem ekspertem w zakresie prawnych aspektów technologii blockchain.

Subskrybuj nasz newsletter i bądź na bieżąco!

Otrzymuj informacje o nowościach w prawie, nowych artykułach, produktach, usługach, czy szkoleniach od kancelarii Creativa Legal.

Dołącz do ponad 6000 innych osób, które już nam zaufało!

Po zapisaniu się odbierz od nas maila z potwierdzeniem. W razie problemów, napisz do nas. Sprawdź folder spam/oferty.

Aktywując przycisk pod formularzem, akceptujesz nasz Regulamin (w zakresie dotyczącym Newslettera) oraz wyrażasz zgodę na otrzymywanie treści edukacyjnych, informacji o produktach i usługach kancelarii Creativa Legal Korol Szczudło adwokaci sp.p., np. o nowych artykułach, kursach on-line, czy zniżkach.

Zapoznaj się z naszą Polityką prywatności.

Ta strona jest chroniona przez reCAPTCHA. Mają zastosowanie Polityka prywatności oraz Regulamin serwisu Google.

Przeczytaj także inne artykuły

Umowa NDA (o zachowaniu poufności) – co powinna zawierać dobra umowa?

Umowa SaaS - czym jest i dlaczego warto ją zawrzeć, gdy dostarczasz oprogramowanie lub z niego korzystasz?

Jak stworzyć white label (SaaS)? Poradnik prawny

Cookie	Czas przechowywania	Opis
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analityczne	1 year	Set by the GDPR Cookie Consent plugin to store the user consent for cookies in the category "Analytics".
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.

Cookie	Czas przechowywania	Opis
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
li_gc	5 months 27 days	Linkedin set this cookie for storing visitor's consent regarding using cookies for non-essential purposes.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Czas przechowywania	Opis
_clck	1 year	No description
_clsk	1 day	No description
CLID	1 year	No description
cookielawinfo-checkbox-funkcjonalne	1 year	No description
cookielawinfo-checkbox-inne	1 year	No description
cookielawinfo-checkbox-niezbedne	1 year	No description
cookielawinfo-checkbox-optymalizacyjne	1 year	No description
cookielawinfo-checkbox-reklamowe	1 year	No description
elementor	never	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.
ln_or	1 day	No description
SM	session	No description available.

Cookie	Czas przechowywania	Opis
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_7Q60WBMH76	2 years	This cookie is installed by Google Analytics.
_ga_VS77N1P0G8	2 years	This cookie is installed by Google Analytics.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
AnalyticsSyncHistory	1 month	Linkedin set this cookie to store information about the time a sync took place with the lms_analytics cookie.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Czas przechowywania	Opis
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
ANONCHK	10 minutes	The ANONCHK cookie, set by Bing, is used to store a user's session ID and also verify the clicks from ads on the Bing search engine. The cookie helps in reporting and personalization as well.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
MUID	1 year 24 days	Bing sets this cookie to recognize unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Umowy powierzenia pod RODO – gdy udostępniasz dane osobowe

Spis treści

Podsumowanie na start

Powierzenie przetwarzania danych osobowych

Kim jest administrator danych osobowych

Kiedy powierzamy przetwarzanie danych osobowych

Umowa powierzenia – z czego się składa

Umowa powierzenia w praktyce

Porozmawiaj z ekspertem

Forma pisemna umowy powierzenia

Arkadiusz Szczudło

Subskrybuj nasz newsletter i bądź na bieżąco!

Przeczytaj także inne artykuły

Skonsultuj rozwiązania prawne dla Twojego biznesu

Magdalena Korol

Arkadiusz Szczudło

Odwiedź nas w social mediach!