Zapraszamy do strefy RODO - prezentujemy najważniejsze zmiany i nowości Więcej

Umowa powierzenia przetwarzania danych osobowych zgodna z RODO
- udostępniamy gotowy wzór

blog-123

Dynamicznie rozwijający się outsourcing usług związanych z prowadzeniem działalności gospodarczej spopularyzował umowę powierzenia danych osobowych, zawieraną z podmiotami świadczącymi usługi kadrowe, księgowe czy serwisu IT. Nowe przepisy mocno uszczegóławiają elementy które umowa powierzenia powinna zawierać. Poniżej przybliżamy najważniejsze.

Przepisy ogólnego rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.5.2016 r.) - dalej jako „RODO” - oznaczają dla administratorów danych osobowych nową rzeczywistość w aspekcie tych umów, mocno uszczegóławiając elementy, które umowa powierzenia powinna zawierać. Mowa tutaj o art. 28 RODO, określającym podstawowy katalog obligatoryjnych zapisów umowy powierzenia. Nowe wymogi wiążą się z koniecznością dostosowania treści już stosowanych wzorów oraz potrzebą aneksowania zawartych umów tak, aby z dniem 25 maja 2018 r. stały się one zgodne z przepisami RODO. Należy zachować szeroko pojętą ostrożność, gdyż niedostosowanie zapisów umowy do nowych wymagań może zrodzić szereg negatywnych konsekwencji, między innymi w postaci wysokich kar pieniężnych - zarówno po stronie administratora, jak i podmiotu przetwarzającego.

Pobierz: wzór umowy powierzenia zgodny z RODO

Akredytowany Kurs IOD

Powierzenie a podpowierzenie danych

Innowacją na gruncie RODO jest obowiązek leżący po stronie administratora danych, polegający na sprawdzeniu podmiotu, któremu mają zostać powierzone dane. Powierzenie danych nie może być zatem „randką w ciemno”. Zgodnie z art. 28 ust. 1 RODO administrator powinien korzystać wyłącznie z usług podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. To niezmiernie istotna zmiana. Nadaje ona administratorowi danych swoiste uprawnienie do kontroli podmiotu przetwarzającego w zakresie zgodności jego działalności z przepisami RODO i obowiązującymi wymogami w zakresie ochrony praw osób, których dane są przetwarzane. Interesujące jest też uregulowanie kwestii podpowierzania danych kolejnym podmiotom. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r., poz. 922 t.j.) przemilcza to zagadnienie. W praktyce mechanizm ten był jednak często stosowany, co znalazło akceptację doktryny.

Ważne
RODO przewiduje podpowierzanie wprost w art. 28 ust. 2 i 4, jednak pod warunkiem uzyskania szczególnej lub ogólnej pisemnej zgody administratora danych. Przepisy RODO wypełniają zatem powstałą w tym zakresie lukę.

Co powinna zawierać umowa powierzenia?

Przechodząc do zakresu przedmiotowego umowy powierzenia należy zauważyć, że jej treść powinna zawierać następujące elementy:

  1. przedmiot przetwarzania,
  2. czas trwania przetwarzania,
  3. charakter i cel przetwarzania,
  4. rodzaj danych osobowych,
  5. kategorię osób, których dane dotyczą,
  6. obowiązki i prawa administratora,
  7. obowiązki podmiotu przetwarzającego.

Podobnie jak w przypadku umów powierzenia zawartych w obowiązującym stanie prawnym, tak i przy umowach zawartych po dniu 25 maja 2018 r. (data rozpoczęcia obowiązywania RODO) należy określić przedmiot przetwarzania, jego czas, cel oraz charakter. W umowie powierzenia niezbędne jest wskazanie rodzaju powierzonych danych osobowych (danych zwykłych lub wrażliwych). Z kolei wymóg wskazania osób, których dane dotyczą, to nic innego jak wyróżnienie w umowie określonej grupy osób, których dane osobowe są powierzane, ze względu na łączące ich kryterium (np. pracownicy administratora).

Ważne
RODO wprowadza nowy wymiar współpracy administratora danych z podmiotem przetwarzającym. Od 25 maja 2018 r. podmiot przetwarzający w miarę możliwości, biorąc pod uwagę charakter przetwarzania, pomaga administratorowi danych w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą.

RODO werbalizuje również obowiązek usunięcia lub zwrotu wszelkich danych osobowych, a także usunięcia wszelkich ich istniejących kopii przez podmiot przetwarzający po zakończeniu przez niego świadczenia usług związanych z przetwarzaniem, chyba że prawo Unii lub prawo państwa członkowskiego nakazuje przechowywanie danych osobowych. W treści umowy powierzenia swoje pełne odzwierciedlenie powinien znaleźć również minimalny zakres obowiązków podmiotu przetwarzającego, zawarty w art. 28 ust. 3 zd. 2 RODO.

Strefa RODO

Kiedy stosować umowę powierzenia?

W realiach polskiej gospodarki rynkowej wiele firm korzysta z usług innych przedsiębiorstw, wykonujących na ich zlecenie strategiczne usługi związane z chociażby księgowością czy BHP. W toku wykonywanych usług zleceniodawcy często bez ograniczeń przekazują firmom zewnętrznym dane pracowników, których zatrudniają, czy – w przypadku świadczenia usług marketingowych - dane swoich klientów. W takich przypadkach zleceniodawca, jako administrator danych osobowych, jest zobowiązany do zawarcia umowy powierzenia z firmą zewnętrzną jako „podmiotem przetwarzającym”. Na wyróżnienie zasługują następujące przykłady zastosowania umów powierzenia danych osobowych:

  1. zewnętrzna obsługa BHP,
  2. zewnętrzna obsługa ABI a w przyszłości IOD,
  3. korzystanie z usług zewnętrznej księgowości,
  4. usługi związane z wypożyczaniem przestrzeni serwerowej,
  5. korzystanie z usług zewnętrznego archiwum,
  6. zewnętrzny dział prawny.

Podsumowanie

Przepisy RODO regulują treść umów powierzenia w dużo szerszym zakresie, niż miało to miejsce w dotychczasowym stanie prawnym. Należałoby ocenić to jako krok w dobrą stronę, zapewniający efektywniejszą ochronę danych osobowych w tej ryzykownej dla administratora sytuacji, w której powierza on zewnętrznemu podmiotowi przetwarzanie danych osobowych. Podkreślenia wymaga to, że zawarcie stosownej umowy w formie pisemnej jest obowiązkiem, a nie uprawnieniem administratora danych i podmiotu przetwarzającego. Czasu do rozpoczęcia obowiązywania przepisów RODO pozostało niewiele, administratorzy danych powinni zatem jak najszybciej stworzyć nowe wzory umów powierzenia oraz zweryfikować już zawarte umowy pod kątem nowych przepisów i aneksować je najpóźniej do dnia 25 maja 2018 r. Wierzymy, że nasz wzór im w tym pomoże.

Pobierz: wzór umowy powierzenia zgodny z RODO

 

Sprawdź również:

RODO wsparcie we wdrożeniu

RODO NAWIGATOR pobierz

E-learning z uwzględnieniem RODO


Zespół
ODO 24

11 stycznia 2018
Biuletyn
informacyjny
Biuletyn ODO 24

Raz w miesiącu wysyłamy subiektywny przegląd najważniejszych informacji i wydarzeń oraz naszych promocji i nowości. Wystarczy poniżej podać swój adres e-mail.

Zobacz poprzednie wydanie.