Właśnie w tym kontekście umowa o powierzeniu przetwarzania danych osobowych staje się kluczowym narzędziem, które nie tylko reguluje relacje między podmiotami (powierzającym i przetwarzającym), ale także zapewnia integralność i poufność danych w dobie współdzielenia informacji. I co najważniejsze, brak zawarcia takiej umowy lub brak wymaganych postanowień umowy powierzenia, gdy dane zostały powierzone do przetwarzania, oznacza naruszenie RODO oraz naraża na kary pieniężne.
W niniejszym artykule przyjrzymy się bliżej istocie i znaczeniu tej umowy oraz omówimy jej kluczowe elementy.
Przeczytaj także:
- RODO dla sklepu internetowego – poradnik krok po kroku dla branży e-commerce
- Regulamin dla sklepu internetowego – jak napisać kompleksowy regulamin dla Twojego sklepu?
- Jak zbudować i wdrożyć aplikację SaaS zgodnie z prawem?
Podsumowanie na start
Nie chcesz czytać całego artykułu? Zapoznaj się z naszym podsumowaniem poniżej:
- Powierzenie przetwarzania danych osobowych ma miejsce wtedy, gdy udostępniasz te dane komuś (w tym firmie), kto przetwarza je w Twoim imieniu.
- Podmiot, który decyduje o wykorzystaniu danych osobowych, jest ich administratorem. Możliwa jest sytuacja, gdy o wykorzystaniu danych decyduje dwóch lub więcej współadministratorów.
- Procesorem jest podmiot, który przetwarza dane osobowe w imieniu i na rzecz administratora danych.
- Z powierzeniem przetwarzania danych osobowych będziesz mieć do czynienia wielokrotnie (np. w relacji z hostingodawcą, biurem księgowym). Jeżeli podmiot, któremu powierzasz dane, nie jest członkiem Twojego personelu, powinieneś zawrzeć z nim odpowiednią umowę. Najczęściej dostawcy ustandaryzowanych usług, np. SaaS przedstawiają klientom swój wzór umowy powierzenia danych osobowych.
- Umowa powierzenia przetwarzania danych powinna w szczególności określać:
- przedmiot usług przetwarzania (który zwykle wynika z umowy biznesowej, tzw. umowy głównej),
- czas trwania przetwarzania,
- zasady dostępu do powierzanych danych osobowych,
- charakter i cel przetwarzania,
- kategorie danych osobowych (np. poprzez wskazanie, że powierzasz przetwarzanie danych swoich klientów),
- rodzaj danych osobowych,
- kategorię osób, których dane dotyczą (tzw. podmiotów danych osobowych),
- obowiązki i prawa administratora określone przez przepisy RODO (np. dotyczące dostępności danych czy ich bezpieczeństwa określone m.in. w art. 34 RODO),
- obowiązki podmiotu przetwarzającego (wymienia je art. 28 ust. 3 RODO),
- w jaki sposób wykonywane są prawa osób, których dotyczą przetwarzane dane osobowe.
- Przed sporządzeniem umowy, dokładnie prześledź procesy związane z przetwarzaniem danych osobowych, jakie zachodzą w danej działalności. Ich znajomość zawsze jest obowiązkiem administratora.
- Zarówno treść umowy, jak i okoliczności jej zawarcia powinny jasno wskazywać, że procesor przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora (którym może być sama umowa).
Potrzebujesz pomocy przy swojej umowie powierzenia lub w zakresie RODO? Skorzystaj z 15-minutowej bezpłatnej konsultacji, gdzie porozmawiamy o tym, jak możemy Ci pomóc 🙂
Powierzenie przetwarzania danych osobowych, czyli co?
Powierzenie przetwarzania danych osobowych to nic innego, jak udostępnienie komuś innemu danych osobowych. W RODO nie znajdziemy definicji powierzenia przetwarzania danych osobowych, ale dowiemy się kim jest adminstrator danych oraz podmiot przetwarzający (procesor). RODO wskazuje, że to administrator decyduje jakie dane udostępnia, w jakim zakresie, po co i w jakim celu.
Z kolei podmiot trzeci ma przetwarzać te dane osobowe w imieniu administratora. Umowa powierzenia przetwarzania danych osobowych określa natomiast wzajemne realcje administratora i podmiotu przetwarzającego wynikające z RODO.
Brak ich realizacji przez którąkolwiek ze stron umowy może doprowadzić do nałożenia administracyjnej kary pieniężnej przez organ nadzorczy, czyli w Polsce Prezesa Urzędu Ochrony Danych Osobowych.
Kim jest administrator danych osobowych?
Administratorem danych osobowych jest osoba, która zarządza danymi osobowymi – decyduje zasadach i celu przetwarzania danych osobowych. Zbiera je w sposób bezpośredni lub pośredni do swojej bazy. To często właśnie administratorowi danych udziela się zgody na przesyłanie informacji marketingowych. Administrator decyduje po co i kiedy wykorzysta dane osobowe, oraz w jakim zakresie.
Jeżeli doszłoby do sytuacji, w której podmiot przetwarzający przekroczy zakres swoich uprawnień, stanie się niejako administratorem tych danych osobowych w zakresie, który nie dotyczy celu, jaki ustalił pierwotny administrator. Będzie ponosił odpowiedzialność za przetwarzanie tych danych tak, jak sam administrator. Podobnie byłoby przy sprzedaży danych osobowych.
W innym wypadku, gdy równocześnie, wspólnie i za porozumieniem zaczniecie z drugim podmiotem decydować o sposobie i celu korzystania z danych osobowych, będziecie współadministratorami. Jeżeli chcecie ułożyć taką relację, warto to zrobić w formie umowy. O tym Wam wkrótce z pewnością napiszę.
Kim jest procesor?
Podmiot przetwarzający dane osobowe, zwany także procesorem, jest to podmiot, który przetwarza dane osobowe w imieniu i na rzecz administratora danych. W praktyce przetwarzanie danych przez procesora sprowadza się do wykonywania czynności usługowych na rzecz administratora danych.
Mówiąc w uproszczeniu, to co odróżnia administratora od procesora to to, że administrator przetwarza dane osobowe we własnym imieniu i dla własnych celów, natomiast procesor przetwarza dane osobowe wyłącznie na udokumentowane polecenie i w imieniu administratora.
Procesor zawsze uzyskuje dostęp do danych osobowych w celu realizacji umowy głównej (relacji biznesowej), na podstawie umowy lub innego analogicznego aktu prawnego, określającego zakres obowiązków wynikających z przepisów art. 28 RODO.
Warto zapamiętać, że RODO nie tylko określa relację pomiędzy administratorem a podmiotem przetwarzającym, ale także reguluje kwestię korzystania przez procesora z usług dalszych podmiotów przetwarzających, tzw. podprocesorów. Umożliwiając podpowierzenie danych, RODO wprowadza przy tym warunki dopuszczalności jego stosowania.
Podmiot przetwarzający może korzystać z usług innego podmiotu przetwarzającego pod warunkiem uzyskania zgody od administratora danych. Jeśli będzie miało miejsce podpowierzenie, wszelkie obowiązki dotyczące ochrony danych osobowych, które nałożone są na pierwotnego procesora, muszą być spełnione przez podprocesora. Dotyczy to przede wszystkim obowiązku zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przekazanie danych odpowiadało wymaganiom stawianym przez RODO.
Kiedy powierzamy przetwarzanie danych osobowych?
Do sytuacji powierzenia danych osobowych dochodzi, kiedy określone funkcje w strukturze organizacyjnej firmy są oddzielone i przekazane do wykonania zewnętrznemu podmiotowi.
Sytuacji, gdzie administrator powierzy przetwarzanie danych osobowych, które sam zebrał jest bardzo wiele.
Powierzenie wystąpić może w relacji m.in. z:
- hostingodawcą/serwerownią,
- biurem księgowym,
- współpracownikami na umowach cywilnoprawnych,
- podwykonawcami.
Zauważ, że umowa o powierzeniu przetwarzania danych osobowych jest wymagana wyłącznie w przypadku, gdy mamy do czynienia z danymi osobowymi. Może wystąpić sytuacja, gdy będziemy korzystać z usług zewnętrznej firmy, na przykład supportu IT, jednak firma ta nie będzie miała dostępu do żadnych danych osobowych. W takim przypadku nie będzie konieczne zawieranie umowy o powierzeniu przetwarzania danych osobowych. Chociaż to wydaje się oczywiste, w praktyce przedsiębiorcy starają się sporządzać takie umowy „w razie W”, dlatego o tym wspominam.
Zawieranie umowy powierzenia przetwarzania danych nie jest również konieczne w przypadku swoich pracowników, współpracowników. W tym zakresie, umocowaniem pracowników do zgodnego z przepisami prawa działania przy wykorzystaniu danych osobowych będzie stosowne upoważnienie ich do tego celu.
Zestawiając, powierzenie przetwarzania dotyczy sytuacji, gdzie przetwarzanie danych osobowych odbywa się poza strukturą Twojej organizacji, upoważnienie obejmuje działania w ramach struktury administratora. Dopiero zatem w sytuacji, w której jakiś zakres zadań outsoursujesz podmiotowi trzeciemu, zobligowany jesteś zawrzeć umowę powierzenia przetwarzania danych osobowych.
Z kolei w sytuacji, gdzie mamy do czynienia z pracownikiem zatrudnionym na umowę o pracę lub współpracownikiem „zatrudnionym” na umowie cywilnoprawnej, którego jednak można zakwalifikować jako personel administratora, można nadać im odpowiednie upoważnienia.
Umowa powierzenia – jakie są jej istotne elementy?
Ogólne rozporządzenie o ochronie danych wskazuje szereg obowiązków, jakie musimy spełnić jako podmiot przetwarzający – a w związku z tym, jakie podstawowe elementy musi zawierać umowa powierzenia:
- przedmiot przetwarzania,
- czas trwania przetwarzania,
- charakter i cel przetwarzania,
- rodzaj danych osobowych,
- kategorię osób, których dane dotyczą,
- obowiązki i prawa administratora,
- obowiązki podmiotu przetwarzającego.
Zgodnie z art. 28 ust. 3 RODO umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:
- przetwarza dane osobowe jedynie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
- zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
- podejmuje wszelkie środki bezpieczeństwa wymagane na mocy art. 32 (RODO);
- przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w art. 28 ust. 2 i 4 (RODO);
- biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;
- uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 (RODO);
- po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
- udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
Dodatkowo, w związku z obowiązkiem określonym w pkt 8 powyżej podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.
Wspomniałem o minimalnych wymaganiach – otóż, RODO wskazuje zakres, który powinna obejmować umowa powierzenia, jednakże nic nie stoi na przeszkodzie, by umowa kształtowała w szerszy sposób, jeszcze bardziej szczegółowy zobowiązanie między administratorem a podmiotem, któremu powierzamy przetwarzanie danych osobowych.
Pomóc Ci napisać odpowiednią umowę powierzenia? Otrzymałeś_aś taką umowę i chcesz żeby ktoś Ci ją sprawdził? Skorzystaj z naszego formularza kontaktowego i porozmawiajmy!
Umowa powierzenia w praktyce
Wiedząc już z jakich elementów umowa powierzenia powinna się składać, wystarczy, że udzielisz odpowiedzi na następujące pytania np.:
- jakie dane będę powierzał określonemu podmiotowi,
- jakie działania podmiot ten będzie mógł prowadzić przy użyciu tych danych,
- przez jaki czas będzie on mógł przetwarzać dane,
- itd.
Sporządzenie umowy powierzenia wymaga zaznajomienia się z procesami zachodzącymi w danej działalności. Całe RODO, jak pewnie już wiesz, ma m.in. na celu uświadomienie przedsiębiorców pod kątem bezpieczeństwa oraz poznania problematyki przetwarzana danych osobowych.
Forma pisemna umowy powierzenia
RODO wychodzi naprzeciw użytkownikom Internetu. Umowę powierzenia można zawrzeć w formie pisemnej, w tym także elektronicznej. Pomimo tego, że w polskim ustawodawstwie mamy wskazanie formy elektronicznej (i jest to zasada ogólna, nieodnosząca się tylko do przepisów o ochronie danych osobowych), na formę elektroniczną pod RODO w tym wypadku trzeba patrzeć europejsko – czyli bardzo szeroko.
Podsumowanie
Kończąc – dane osobowe, umowa powierzenia oraz Ogólne rozporządzenie o ochronie danych to aspekty prowadzenia działalności, których nie można pominąć, jeżeli przetwarzacie dane osobowe w jakikolwiek sposób. Udostępniając podmiotom trzecim dane osobowe, które otrzymaliście od klientów należy odpowiednio zabezpieczyć poprzez zawarcie stosownej umowy powierzenia.
Chociaż termin „powierzenie przetwarzania danych osobowych” nie jest definiowany w RODO, to jest to istotny koncept, który reguluje sposób, w jaki podmioty traktują i przekazują dane osobowe, aby zapewnić ich ochronę i zgodność z przepisami.