Umowa o powierzeniu przetwarzania danych

Czym jest powierzenie przetwarzania danych osobowych?

Aby zapoznać się z tematem dotyczącym umowy o powierzeniu przetwarzania danych osobowych, warto w pierwszej kolejności dowiedzieć się, co tak naprawdę to powierzenie oznacza.

Do powierzenia przetwarzania danych dochodzi w sytuacji, gdy administrator danych osobowych przekazuje określone dane innej firmie. Administratorem może być np. szkoła, przedsiębiorca, przychodnia itp. Dane są jednak powierzane nie po to, aby drugi podmiot stał się ich właścicielem, a w celu wykonania konkretnych działań w imieniu administratora.

Posłużmy się przykładami:

1. Firma IT obsługuje firmowy serwer lub pocztę e-mail.

2. Biuro rachunkowe prowadzi kadry i płace.

3. Agencja marketingowa obsługuje newsletter sklepu.

W każdej z wymienionych sytuacji dane osobowe są przekazane podmiotowi trzeciemu, który wykonuje działania w imieniu administratora. I właśnie między innymi w takich przypadkach konieczne okazuje się zawarcie umowy powierzenia.

Kiedy umowa powierzenia przetwarzania danych osobowych jest obowiązkowa?

Aby powstał obowiązek podpisania umowy powierzenia przetwarzania danych osobowych, muszą zostać spełnione dwa warunki:

1. Administrator udostępnia dane osobowe innemu podmiotowi, ale nie zmienia się podmiot decydujący o celach i środkach przetwarzania.

2. Podmiot przetwarza dane wyłącznie w imieniu administratora, wykonując określone czynności, np. przetwarza je techniczne, obsługuje bazę danych itp.

Ważne! Nie ma znaczenia, czy dane osobowe dotyczą klientów, pacjentów, czy pracowników firmy. Istotne jest to, że inny podmiot faktycznie przetwarza dane w imieniu administratora, niezależnie od tego, czyje one są.

Zawarcie umowy o powierzeniu przetwarzania danych osobowych jest wówczas nie tylko dobrą praktyką. To obowiązek wynikający z przepisów RODO.

Podstawa prawna: RODO i ustawa z 14 grudnia 2018 r.

Główną podstawą prawną regulującą obowiązek zawierania umowy powierzenia jest art. 28. ust. 3 ogólnego rozporządzenia o ochronie danych, czyli RODO. Przepis mówi wprost: „przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego”.

Jeśli chodzi o dane przetwarzane w związku z zapobieganiem i zwalczaniem przestępczości, podstawą prawną jest tutaj art. 34 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125). Zgodnie z nim: „Administrator może powierzyć przetwarzanie danych osobowych podmiotowi przetwarzającemu wyłącznie na podstawie umowy lub innego instrumentu prawnego, który jest wiążący dla tego podmiotu przetwarzającego”.

Ustawa ta dotyczy głównie organów ścigania, sądów, służb specjalnych czy innych instytucji działających na styku prawa i bezpieczeństwa publicznego. Niemniej warto o niej pamiętać, zwłaszcza w przypadku współpracy z firmami świadczącymi usługi dla komend, jednostek penitencjarnych lub organów nadzoru.

Kto z kim zawiera umowę powierzenia?

Umowa o powierzeniu musi być zawarta między dwoma stronami – administratorem i podmiotem przetwarzającym.

Uwaga! Umowy powierzenia nie można podpisać z osobą fizyczną zatrudnioną w firmie administratora, ani z innym administratorem danych, czyli np. z bankiem, który przetwarza dane we własnym imieniu.

Tłumacząc:

• Administrator danych osobowych jest podmiotem odpowiedzialnym za decydowanie o celach i środkach przetwarzania danych. Może to być przykładowo właściciel sklepu internetowego.

• Podmiot przetwarzający dane, inaczej nazywany procesorem, odpowiada za przetwarzanie danych osobowych wyłącznie na polecenie administratora. Może to być np. firma zarządzająca e-sklepem.

Forma i treść umowy powierzenia – co musi się w niej znaleźć?

Zgodnie z przepisami RODO, dokładniej art. 28 ust. 3, w umowie o powierzeniu przetwarzania danych osobowych muszą zostać zawarte:

• Przedmiot i czas trwania przetwarzania danych.

• Charakter i cel przetwarzania danych.

• Rodzaj danych osobowych i kategorie osób, których dotyczą.

• Obowiązki i prawa administratora.

• Zobowiązanie podmiotu przetwarzającego do:

1. przetwarzania danych wyłącznie na udokumentowane polecenia administratora,

2. zapewnienia poufności,

3. podjęcia środków bezpieczeństwa (art. 32 RODO),

4. wspierania administratora w realizacji obowiązków wobec osób, których dotyczą dane,

5. usunięcia lub zwrotu danych osobowych po zakończeniu umowy.

Prawidłowo skonstruowana umowa zawiera najcześciej klauzule dotyczące powierzenia danych, czyli możliwości przekazania im innym podwykonawcom, procedury reagowania na incydenty naruszenia danych oraz zapisy o audytach i kontrolach przeprowadzanych przez administratora.

RODO wymaga, aby umowa o powierzeniu przetwarzania danych miała formę pisemną (akceptowana jest elektroniczna), była konkretna i zrozumiała, a także jasno określała zasady współpracy.

Czy zawsze trzeba podpisać odrębną umowę powierzenia?

Nie jest to konieczne w każdym przypadku. Umowa powierzenia może być częścią głównej umowy zawartej pomiędzy podmiotami, np. umowy o świadczenie usług IT czy hostingu. W takich przypadkach należy zwrócić szczególną uwagę na to, aby zawierała ona wszystkie wymagane elementy zgodnie z przepisami RODO i miała formę pisemną.

W rzeczywistości najczęściej spotykane są trzy formy dotyczące powierzenia przetwarzania danych:

1. Osobna umowa powierzenia.

3. Odpowiednio sformułowane postanowienia w umowie ramowej.

4. Aneks do głównej umowy.

Jakie dane podlegają ochronie w ramach umowy powierzenia?

Nie każda informacja przekazywana zewnętrznej firmie jest traktowana jako dane osobowe podlegające ochronie.

Ochrona obejmuje takie dane jak:

• Imię, nazwisko, PESEL, numer dowodu osobistego.

• Adres zamieszkania.

• Adres e-mail, numer telefonu.

• Dane pracownicze: stanowisko, wynagrodzenie.

• Informacje o stanie zdrowia.

• Dane klientów sklepu: historie zamówień, preferencje zakupowe.

• Dane logowania i identyfikatory użytkowników systemów.

• Informacje lokalizacyjne.

Zakres przetwarzania danych jest zależny od rodzaju usług świadczonych przez podmiot przetwarzający. Im bardziej są one wrażliwe, tym większą odpowiedzialność ponoszą strony i tym bardziej powinny zadbać one o dobro osób, których dotyczą.

Brak umowy powierzenia przetwarzania danych – co dalej? Jakie są konsekwencje?

Brak zawartej umowy powierzenia jest traktowany jak naruszenie art. 28 ust. 3 RODO i potencjalnie art. 34 ustawy z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem przestępczości, jeśli dane przetwarzane mają związek z ochroną osób, mienia, sektorem publicznym czy dochodzeniem roszczeń. Może to skutkować karą administracyjną nakładaną przez UODO i odpowiedzialnością cywilną w razie wycieku danych lub nieuprawnionego ich wykorzystania przez podmiot trzeci.

UODO może w takim przypadku wyciągnąć następujące konsekwencje:

• Nałożyć karę administracyjną do 10 mln euro lub 2% obrotu.

• Wydać nakaz zaprzestania przetwarzania danych osobowych.

• Wszcząć postępowanie sądowe w sprawie naruszenia przepisów.

Ryzyko kary dotyczy nie tylko administratora danych, ale również podmiotu przetwarzającego, który także ponosi odpowiedzialność za niewłaściwe ich przetwarzanie.

Jak może pomóc nasza kancelaria?

Zarówno administrator, jak i sam procesor, powinni zadbać o dobrze skonstruowaną umowę powierzenia. Jak widać, jest ona nie tylko formalnością, ale realną ochroną i wymogiem prawnym.

Nasza kancelaria wspiera firmy i instytucje publiczne podczas całego procesu:

• Przeprowadzamy analizę, czy w danym przypadku jest konieczne powierzenie.

• Przygotowujemy odpowiednio skonstruowaną i dostosowaną do pomiotów umowę powierzenia przetwarzania danych osobowych lub aneks do umowy głównej.

• Opiniujemy zapisy w umowach z dostawcami usług IT, marketingu czy HR.

• Pomagamy we wdrożeniu odpowiednich procedur bezpieczeństwa i zgodności.

• Reprezentujemy przedsiębiorców przed UODO lub sądami w sprawach związanych z przetwarzaniem danych osobowych.

Jeśli Twoja firma korzysta z usług podmiotów zewnętrznych i przetwarza dane osobowe, skontaktuj się z nami. Pomożemy Ci tym, abyś mógł działać zgodnie z wymogami prawnymi i uniknąć ryzyka kary.

Pytania i odpowiedzi

Zaufali nam