Umowa powierzenia przetwarzania danych osobowych – udostępniamy wzór umowy i ankiety bezpieczeństwa

W niniejszym artykule kompleksowo wyjaśniamy, czym jest umowa powierzenia przetwarzania danych osobowych, kiedy jej zawarcie jest obowiązkowe, jakie obowiązki spoczywają na administratorze i podmiocie przetwarzającym oraz jakie ryzyka wiążą się z nieprawidłowym uregulowaniem tej współpracy.

Omawiamy również zasady dalszego powierzenia danych, wymagania formalne dotyczące umowy oraz aktualne stanowisko organu nadzorczego. Dodatkowo udostępniamy praktyczny wzór umowy powierzenia oraz ankietę bezpieczeństwa, które mogą pomóc w spełnieniu wymogów RODO i zwiększeniu bezpieczeństwa przetwarzania danych w organizacji.

Materiały do pobrania

Czym jest umowa powierzenia?

Mówiąc najprościej, umowa powierzenia przetwarzania danych osobowych (z ang. Data Processing Agreement, DPA) to umowa zawierana wtedy, gdy przetwarzanie danych osobowych administratora ma być wykonywane w jego imieniu przez inny, zewnętrzny podmiot.

Strony umowy powierzenia – kto ją zawiera?

Stronami umowy powierzenia są administrator danych, który zleca przetwarzanie we własnych celach, oraz podmiot przetwarzający (procesor), który będzie przetwarzał dane osobowe w imieniu administratora.

Kiedy trzeba zawrzeć umowę powierzenia?

Z powierzeniem przetwarzania danych osobowych mamy do czynienia wtedy, gdy podmiot zewnętrzny świadczy na rzecz administratora usługi, których realizacja wymaga przetwarzania danych osobowych. Dotyczy to na przykład usług księgowych – nierozerwalnie związanych z dostępem usługodawcy do danych osobowych pracowników lub kontrahentów usługobiorcy.

Przykłady powierzenia przetwarzania danych:

• zewnętrzna obsługa księgowa przedsiębiorstwa,
• zewnętrzna obsługa kadrowo-płacowa przedsiębiorstwa,
• usługi zewnętrznego archiwum,
• zewnętrzne usługi niszczenia dokumentów,
• usługi IT (np. hosting, serwis) świadczone przez podmiot zewnętrzny,
• usługi zewnętrznego call center,
• usługi ochrony, w tym monitorowania, świadczone przez podmiot zewnętrzny,
• zewnętrzny system informatyczny (np. CRM) posadowiony na serwerze dostawcy, w ramach którego przetwarzane są dane osobowe pracowników lub klientów administratora.

Kiedy powierzenie, a kiedy udostępnienie danych osobowych?

Warto zwrócić uwagę, że nie każdy usługodawca, z którym administrator danych nawiązuje współpracę skutkującą dostępem zewnętrznego podmiotu do danych osobowych, działa wyłącznie na polecenie administratora i w jego celach. Niekiedy podmiot wykonujący usługę nie jest związany poleceniami klienta (administratora), lecz przepisami, które go obowiązują. Dotyczy to na przykład biegłych rewidentów, adwokatów czy radców prawnych, których uznaje się za odrębnych administratorów, a nie podmioty przetwarzające – mimo że działają na zlecenie klienta.

O tym, czy mamy do czynienia z powierzeniem, czy z udostępnieniem danych, decyduje przede wszystkim stopień samodzielności usługodawcy w określaniu celów przetwarzania. Jeśli usługodawca nie jest związany instrukcjami klienta i może wykorzystywać dane do własnych celów, to zwykle nie jest procesorem, lecz odrębnym administratorem. Tak będzie na przykład wtedy, gdy usługodawca musi zapewnić własną zgodność z prawem, wypełniać obowiązki wynikające z przepisów (w tym dotyczące retencji danych) oraz stosować wymagania prawne określające zakres danych i zasady postępowania z nimi w ramach świadczonej usługi.​ Jeśli natomiast usługodawca nie ma własnego celu i przetwarza dane wyłącznie w celu realizacji zadania administratora, działając według jego instrukcji, to co do zasady jest procesorem.

Przykłady odrębnych administratorów:

• biegły rewident,
• kancelaria adwokacka,
• kancelaria radcowska,
• bank,
• firma kurierska lub poczta.

Jak zweryfikować procesora przed powierzeniem danych?

Weryfikacja podmiotu przetwarzającego jest obowiązkiem administratora wynikającym wprost z art. 28 RODO. Polega na sprawdzeniu, czy potencjalny procesor (wykonawca) zapewnia „wystarczające gwarancje” wdrożenia środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

Innymi słowy, zanim powierzymy na zewnątrz przetwarzanie danych osobowych, musimy upewnić się, że wstępnie wybrany procesor będzie odpowiednio chronił te dane. Weryfikacja obejmuje najczęściej ankietę bezpieczeństwa lub wywiad z pytaniami o zabezpieczenia proceduralne (polityki, IOD), organizacyjne (incydenty, upoważnienia, szkolenia), fizyczne (serwerownie) i techniczne (szyfrowanie, backupy, testy penetracyjne). Sprawdzenie procesora należy przeprowadzić przed zawarciem umowy powierzenia przetwarzania danych oraz okresowo je powtarzać.

Co musi zawierać umowa powierzenia?

Jeśli weryfikacja procesora wypadnie pomyślnie i strony zdecydują się zawrzeć umowę powierzenia, to zgodnie z art. 28 ust. 3 RODO powinna ona zawierać następujące elementy:

• przedmiot przetwarzania – czego umowa dotyczy, jakie przetwarzanie zostało zlecone procesorowi,
• czas trwania przetwarzania– jak długo dane będą przetwarzane w imieniu administratora,
• charakter przetwarzania– jakie czynności procesor może wykonywać, z jaką częstotliwością (można też wskazać takie elementy, jak powtarzalność, długoterminowość, masowość, zastosowane technologie),
• cel przetwarzania – po co i w jakim konkretnie celu procesor ma przetwarzać dane osobowe w imieniu administratora,
• rodzaj danych osobowych– jakie dane osobowe będą objęte powierzeniem,
• kategorie osób, których dane dotyczą– czyje dane będą przetwarzane (np. klientów, administratora, pracowników administratora),
• obowiązki i prawa administratora– obowiązki obejmują np. sposób i termin przekazania danych do przetwarzania oraz udzielanie wszelkich informacji niezbędnych procesorowi do realizacji umowy, z kolei prawa administratora są zwykle ściśle związane z obowiązkami procesora (np. obowiązek udzielania pomocy po stronie procesora oznacza prawo administratora do uzyskania tej pomocy),
• obowiązki procesora – omówione poniżej.

Jakie są obowiązki procesora?

Przepis art. 28 ust. 3 RODO określa również obowiązki procesora, które powinny zostać wprost uregulowane w umowie powierzenia. Należą do nich:

Praktyczny kurs IOD
potwierdzi Twoje wysokie kompetencje

Przygotuj się do pełnienia funkcji inspektora ochrony danych. Zapraszamy!

WYBIERZ TERMIN

• przetwarzanie danych osobowych wyłącznie na udokumentowane polecenie administratora – w tym w zakresie przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, chyba że taki obowiązek nakłada na procesora prawo Unii lub prawo państwa członkowskiego, któremu procesor podlega (w takim przypadku przed rozpoczęciem przetwarzania procesor informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny),
• zapewnienie, by osoby upoważnione do przetwarzania zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,
• podjęcie środków wymaganych na mocy art. 32 RODO – stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania,
• przestrzeganie warunków korzystania z usług innego podmiotu przetwarzającego (podprocesora),
• pomoc administratorowi w wywiązaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw,
• pomoc administratorowi w wywiązaniu się z obowiązków określonych w art. 32–36 RODO – w tym z obowiązku zgłaszania naruszeń, zawiadamiania osób, których dane dotyczą, o naruszeniu ich danych osobowych czy przeprowadzania oceny skutków dla ochrony danych,
• usunięcie lub zwrot danych osobowych oraz usunięcie istniejących kopii – chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych,
• udostępnienie administratorowi informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwienie administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzenia audytów (w tym inspekcji) i przyczynienie się do nich.

Kiedy i na jakich zasadach procesor może korzystać z usług innego podmiotu przetwarzającego (dalsze powierzenie)?

Może się zdarzyć, że procesor powierzone mu czynności sam (pod)zleci innemu podmiotowi, tworząc tym samym stosunek podpowierzenia danych osobowych. Aby to było możliwe, konieczna jest uprzednia, pisemna zgoda administratora danych. Zgoda ta może mieć charakter szczegółowy (dotyczyć konkretnego podmiotu) lub ogólny (ramowy, z mechanizmem notyfikacji zmian i prawem sprzeciwu).

Zgoda szczegółowa polega na tym, że administrator z góry i jednoznacznie zatwierdza konkretnego podprocesora. W praktyce często obejmuje to również określenie konkretnej usługi lub czynności, lokalizacji czy kategorii danych. Natomiast zgoda ogólna oznacza, że administrator z góry dopuszcza korzystanie przez procesora z podprocesorów (np. z określonej listy lub kategorii). Warunkiem jest jednak obowiązek informowania administratora o wszelkich zamierzonych zmianach dotyczących dodawania lub zastępowania podprocesorów.​ Ten model jest powiązany z prawem administratora do zgłoszenia sprzeciwu wobec takich zmian (czyli do zablokowania konkretnego, planowanego podprocesora) zamiast każdorazowego wyrażania uprzedniej, indywidualnej zgody na konkretny podmiot.

Co ważne, na podprocesora muszą zostać nałożone te same obowiązki ochrony danych, jakie wynikają z art. 28 ust. 3 RODO i jakie przewiduje umowa między administratorem a podmiotem przetwarzającym. Dotyczy to w szczególności obowiązku zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych. Ponadto, jeśli podprocesor nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełną odpowiedzialność wobec administratora za wypełnienie tych obowiązków ponosi pierwotny podmiot przetwarzający.

Czy umowa powierzenia musi być zawarta na piśmie?

Zgodnie z art. 28 ust. 9 RODO umowa powierzenia przetwarzania danych osobowych musi być zawarta w formie pisemnej, w tym w formie elektronicznej. Taka forma zapewnia rozliczalność i ułatwia kontrolę przez organ nadzorczy. Warto dodać, że RODO nie wymaga podpisu kwalifikowanego. Ze względów dowodowych zaleca się jednak rozwiązania, które pozwalają jednoznacznie zidentyfikować strony oraz zapewniają integralność treści umowy.

Czy standardowe klauzule umowne mogą zastąpić umowę powierzenia?

Administrator i podmiot przetwarzający mogą wypracować własną umowę powierzenia, zawierającą wszystkie elementy wymagane w art. 28 RODO, albo oprzeć się na standardowych klauzulach umownych, wynikających z decyzji wykonawczej Komisji (UE) 2021/915 z dnia 4 czerwca 2021 r. Takie klauzule mogą zastąpić wypracowaną umowę powierzenia, zapewniając odpowiednie gwarancje zgodności z RODO bez konieczności tworzenia dokumentu od podstaw.

Co wynika z decyzji UODO w sprawach dotyczących umów powierzenia?

Umowa powierzenia nie jest tylko czystą formalnością ani „dodatkowym papierem” w dokumentacji. Świadczą o tym prawomocne decyzje Prezesa Urzędu Ochrony Danych Osobowych, w tym m.in.:

• decyzja DKN.5131.29.2022 z 6 sierpnia 2022 r. – nakładająca karę pieniężną za powierzenie przetwarzania danych osobowych bez zawartej na piśmie umowy powierzenia oraz bez przeprowadzenia weryfikacji, czy procesor zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa podmiotów danych,
• decyzja DKN.5130.2415.2020 z 12 listopada 2024 r. – nakładająca karę pieniężną za niewdrożenie przez administratora i procesora odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, w tym ich poufność, oraz za brak weryfikacji procesora (z decyzji jasno wynika, że w ramach postępowania szczegółowo analizowano zarówno treść umowy, jak i sposób weryfikacji procesora),
• decyzja DKN.5130.2024.2020 z 11 lutego 2021 r. – nakładająca karę pieniężną za powierzenie przetwarzania danych osobowych bez umownego zobowiązania procesora do przetwarzania danych wyłącznie na udokumentowane polecenie administratora, a także bez określenia w umowie kategorii osób, których dane dotyczą, oraz rodzaju danych osobowych (przez wskazanie ich kategorii),
• decyzja DKN.5131.50.2021 z 8 lutego 2023 r. – nakładająca karę pieniężną za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, co skutkowało naruszeniem ich poufności i rozliczalności, oraz za brak weryfikacji procesora,
• decyzja DKN.5131.35.2021 z 10 października 2024 r. – nakładająca karę pieniężną za brak weryfikacji procesora pod kątem ustalenia, czy zapewnia on wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa podmiotów danych, a także za powierzenie przetwarzania danych osobowych na podstawie umowy, która nie zawierała wszystkich elementów wymaganych zgodnie z art. 28 ust. 3 RODO.

Materiały do pobrania

Zawarcie umowy powierzenia, jej treść oraz uprzednia weryfikacja podmiotu przetwarzającego mają kluczowe znaczenie dla zapewnienia zgodności z RODO. Przekłada się to zarówno na bezpieczeństwo danych osobowych, jak i na bezpieczeństwo organizacji jako administratora tych danych. Aby ułatwić prawidłowe przeprowadzenie procedury zawarcia umowy powierzenia, udostępniamy dwa wzory: