Przejdź do treści
Strona główna » Blog » Co powinno się znaleźć w umowie powierzenia przetwarzania danych osobowych?

Co powinno się znaleźć w umowie powierzenia przetwarzania danych osobowych?

Umowa powierzenia przetwarzania danych osobowych to jeden z instrumentów prawnych przewidzianych przez RODO. Do czego służy? Umowa powierzenia to narzędzie pozwalające na uregulowanie zasad powierzenia przetwarzania danych osobowych. Warto zaznaczyć, że ustalenie tych zasad nie musi przyjąć formy umowy. RODO dopuszcza stosowanie różnych instrumentów prawnych, poszczególne postanowienia mogą więc znaleźć się w regulaminie, w umowie głównej lub w innym dokumencie. Najważniejsze, aby dokument ten spełniał warunki przewidziane w przepisie art. 28 RODO.

Kiedy mówimy o powierzeniu przetwarzania danych osobowych?

O powierzeniu przetwarzania danych osobowych mówimy w sytuacji, gdy przetwarzanie danych osobowych jest dokonywane w imieniu administratora przez inny podmiot. Pisałem już na tym blogu o różnicy między powierzeniem a udostępnieniem, jeżeli więc jeszcze nie miałeś okazji się z tym rozróżnieniem zapoznać, zachęcam do nadrobienia zaległości – KLIK!.

W uproszczeniu chodzi o sytuację, w której pewną część swoich zadań delegujesz na zewnątrz, a do ich wykonania jest niezbędne wykorzystanie danych, których jesteś administratorem. Przykładami takiej sytuacji jest obsługa księgowo-rachunkowa, hosting poczty e-mail, strony internetowej lub korzystanie z usług chmurowych.

Jakie są strony umowy powierzenia przetwarzania danych osobowych?

Stronami umowy powierzenia są administrator, czyli ten, który dane przekazuje, oraz podmiot przetwarzający, czyli ten, któremu dane są przekazywane. Możesz spotkać się także z innymi określeniami, jak choćby procesor.

Co powinno zostać uregulowane w umowie powierzenia przetwarzania danych osobowych?

Skoro już wiesz, do czego służy umowa powierzenia, w jakiej formie może być zawarta i jakie są jej strony, czas prześledzić kolejne jej elementy. Trochę tego jest, więc bez przedłużania.

Spełnianie gwarancji prawidłowego przetwarzania danych osobowych

Jako administrator możesz skorzystać z usług takiego podmiotu, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Mają one zapewnić zgodność przetwarzania z RODO i chronić prawa osób, których dotyczy przetwarzanie.

To bardzo istotny element, na który powinieneś zwrócić uwagę. Choćby dlatego, że jego wagę podkreśla Prezes UODO, a jego zlekceważenie stanowiło podstawę do nałożenia niejednej kary.

W praktyce chodzi o to, aby sprawdzić swojego kontrahenta. Możesz skorzystać w tym celu z listy kontrolnej, którą przedstawisz mu jeszcze przed zawarciem umowy. Na jej podstawie będziesz w stanie ocenić, czy będzie prawidłowo realizował swoje zadania i nie narazi Cię na odpowiedzialność prawną. Możesz też skorzystać z usług renomowanych firm, takich jak Microsoft. Zdanie takie wyraził Wojewódzki Sąd Administracyjny w Warszawie.

Dalsze powierzenie przetwarzania danych osobowych

Podmiot przetwarzający może przekazać dane dalej, jeżeli jest to niezbędne do wykonania umowy. O co chodzi? Wyobraź sobie sytuację, w której powierzasz przetwarzanie danych osobowych firmie informatycznej. Ma ona za zadanie utrzymanie kopii zapasowych Twoich danych, w związku z czym wykupuje usługę chmurową. Dochodzi w tym przypadku do dalszego powierzenia przetwarzania danych osobowych.

Zgoda na takie dalsze powierzenie powinna zostać wyrażona przez administratora w formie pisemnej. Może być ogólna lub dotyczyć konkretnych podmiotów. Pamiętaj, że podmiot przetwarzający jest zobowiązany do poinformowania administratora o każdym zamiarze zmiany w tym zakresie. Administratorowi przysługuje w takim wypadku możliwość wyrażenia sprzeciwu wobec tych zmian.

Podstawa powierzenia przetwarzania danych osobowych

Jak już wspomniałem wcześniej, przetwarzanie danych odbywa się na podstawie umowy lub innego instrumentu prawnego. Niezależnie od formy, powinny one określać przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których one dotyczą, obowiązki i prawa administratora.

Jeżeli to możliwe, warto abyś opisał te elementy jak najbardziej precyzyjnie. Pozwoli to uniknąć wątpliwości interpretacyjnych.

Udokumentowane polecenie administratora

Powierzenie przetwarzania przez podmiot przetwarzający odbywa się wyłącznie na podstawie udokumentowanego polecenia administratora. Jak widzisz, udokumentowanie tej czynności jest wymagane przepisami prawa. Pamiętaj, że dotyczy to również przekazywania danych poza Europejski Obszar Gospodarczy lub do organizacji międzynarodowych.

Upoważnienie i zapewnienie poufności

Osoby biorące udział w przetwarzaniu danych osobowych powinny zostać do tego upoważnione. Powinny także zostać zobowiązane do zachowania tajemnicy albo podlegać ustawowemu obowiązkowi zachowania tajemnicy. Przykładem takich może być tajemnica zawodowa lekarza lub radcy prawnego.

Odpowiednie środki ochrony danych osobowych

Podmiot przetwarzający powinien stosować środki zabezpieczeń adekwatne do ryzyka. Powinien wziąć pod uwagę takie elementy jak aktualny stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych.

Przede wszystkim chodzi o wymienione w RODO:

  • pseudonimizację i szyfrowanie danych osobowych;
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Warunki dalszego powierzenia przetwarzania danych osobowych

Jeżeli dopuszczasz możliwość dalszego powierzenia przetwarzania danych osobowych, powinno ono odpowiadać co najmniej tym samym zasadom, na jakich Ty jako administrator powierzyłeś przetwarzanie danych osobowych.

Wsparcie administratora w odpowiadaniu na żądania osób fizycznych

Podmiot przetwarzający powinien pomóc Ci w odpowiadaniu na żądania osób fizycznych. Chodzi o realizację obowiązku informacyjnego, prawo do sprostowania danych, prawo do usunięcia danych, prawo dostępu do danych itd. Wszystkie te prawa zostały określone w rozdziale III RODO, a na tym blogu możesz przeczytać o nich tutaj – KLIK!

Wszystko to oczywiście w miarę możliwości, jakimi dysponuje podmiot przetwarzający.

Pomoc administratorowi w wywiązaniu się z obowiązków

Podmiot przetwarzający powinien też pomóc Ci jako administratorowi wywiązać się z obowiązków określonych w przepisach art. 32-36 RODO. Chodzi o zapewnienie bezpieczeństwa przetwarzania, zgłaszanie naruszeń ochrony danych osobowych, zawiadamianie osób dotkniętych naruszeniem o tym naruszeniu, ocenie skutków dla ochrony danych osobowych i uprzednich konsultacjach z organem nadzorczym.

Zwrot lub usunięcie danych osobowych

Po zakończeniu wykonywania zadań, podmiot przetwarzający powinien usunąć lub zwrócić administratorowi wszelkie kopie danych. Decyzja w tym zakresie należy do administratora. Wyjątkiem jest sytuacja, gdy dalsze przechowywanie danych przez podmiot przetwarzający jest wymagane przepisami prawa.

Udostępnianie administratorowi niezbędnych informacji i możliwość audytu

Podmiot przetwarzający jest zobowiązany do przekazywania administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków zawartych w umowie powierzenia. Powinien też umożliwić Ci jako administratorowi przeprowadzenie audytu jego działalności.

Inne elementy umowy powierzenia przetwarzania danych osobowych

Elementy umowy powierzenia wskazane w przepisie art. 28 RODO, które opisałem powyżej, nie stanowią zamkniętego katalogu. Oznacza to, że umowa powierzenia może być szersza. Jednym z przykładów jest zawarcie w umowie powierzenia postanowień dotyczących kar umownych.

Możesz też wskazać inne elementy, które standardowo w umowach występują, takie jak osoby wyznaczone do kontaktu, właściwość sądowa czy przepisy prawa, którym podlega wykonanie umowy.

Standardowe klauzule umowne

W przypadku powierzenia przetwarzania danych osobowych możesz skorzystać także z “gotowca” zatwierdzonego przez Komisję Europejską. Mam na myśli standardowe klauzule umowne, nazywane skrótowo SCC – od angielskiego Standard Contractual Clauses. Jest to jeden z instrumentów prawnych, o których mowa w przepisie art. 28 RODO.

Niezależnie od Twojej decyzji co do tego, w jaki sposób dokonasz powierzenia przetwarzania danych osobowych, polecam Ci tę okoliczność udokumentować. Spełnisz tym samym wymóg zapewnienia rozliczalności, co z pewnością przyda się w przypadku naruszenia lub kontaktu z Urzędem Ochrony danych osobowych.

Umowy powierzenia to codzienność

Powierzanie przetwarzania danych osobowych w formie umowy powierzenia lub innego instrumentu prawnego to codzienność. Pamiętaj, że jej udokumentowanie stanowi element rozliczalności, o którą zapyta Cię Prezes UODO w przypadku postępowania.

W ramach ciekawostki napiszę jeszcze, że umowa powierzenia nie jest nowością. Istniała ona już w naszym obrocie prawnym od 1997 r., a regulowała ją stara ustawa o ochronie danych osobowych. Z mojego doświadczenia mogę jednak stwierdzić, że w wyniku stosowania RODO przyjęła się w zdecydowanie większym stopniu.

Jeżeli natomiast potrzebujesz wsparcia w opracowaniu umowy powierzenia przetwarzania danych osobowych lub związanych z tym kwestii, jak choćby sprawdzenie podmiotu przetwarzającego – zachęcam do kontaktu. 😊

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *