Umowa powierzenia przetwarzania danych osobowych zgodna z RODO
- udostępniamy gotowy wzór

blog-123

Prowadzenie działalności gospodarczej niejednokrotnie związanie jest z korzystaniem z usług outsourcingu świadczonych przez podmioty zewnętrzne,  z którymi to usługami może być powiązane powierzenie przetwarzania danych osobowych. Zawarcie umowy powierzenia zależeć jednak będzie od tego, czy nasz usługodawca przetwarza dane osobowe jako podmiot przetwarzający czy też jako odrębny administrator.

Jeżeli analiza podmiotu zewnętrznego wskazuje na konieczność zawarcia tego typu umowy należy pamiętać o przepisach regulujących jej zakres.  Kluczowe w tym zakresie jest RODO, które wprost wskazuje niezbędne elementy umowy powierzenia przetwarzania danych osobowych.  Niniejszy artykuł ma przybliżyć najważniejsze z nich.

Więcej
na temat analizy podmiotu zewnętrznego (usługodawcy), pod kątem definicji administratora i podmiotu przetwarzającego, a tym samym konieczności zawierania umowy powierzenia przetwarzania danych osobowych przeczytasz w artykule: „Powierzenie przetwarzania danych osobowych – czym dokładnie jest i kiedy je stosujemy. Z kolei o tym, jak odróżnić współadministrowanie od powierzenia przetwarzania, piszemy w artykule: "Jak odróżnić współadmistrowanie od powierzenia przetwarzania?"

Przepisy ogólnego rozporządzenia o ochronie danych 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.5.2016 r.) - dalej jako „RODO” - nakładają na administratorów szczególne zobowiązania  dotyczące zawierania umów powierzenia, wskazując precyzyjnie jakie minimalne kwestie powinny zostać w niej uregulowane.  Kluczowym w tym zakresie jest art. 28 RODO, określający podstawowy katalog obligatoryjnych postanowień  umowy powierzenia. Przeprowadzone przez autora audyty wskazują, że wielokrotnie koniecznym będzie nie tyle zawarcie samych umów powierzenie, ale również  dostosowanie do omawianych wymogów prawnych umów już obowiązujących, a zawartych na bazie ustawy o ochronie danych osobowych z 29.08.1997 r.  Należy zwrócić uwagę, że uregulowanie relacji pomiędzy administratorem i podmiotem przetwarzającym w oparciu o umowę powierzenia jest obowiązkiem administratora oraz podmiotu przetwarzającego. Brak jego spełnienia może zaś być podstawą do nałożenia  administracyjnej kary pieniężnej zgodnie z art. 83 ust. 4 pkt a RODO.

Pobierz: wzór umowy powierzenia zgodny z RODO

Wybór podmiotu przetwarzającego

Samo zawarcie umowy powierzenia to jednak nie jedyne zadanie wynikające z RODO a dotyczące omawianego zagadnienia. Należy pamiętać, że art. 28 ust. 1 RODO (uzupełniony treścią motywu 81 RODO), zobowiązuje administratora, do korzystania jedynie z takich podmiotów przetwarzających, które gwarantują wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających, że przetwarzanie spełnia wymogi RODO oraz chroni prawa osób, których dane są przetwarzane. W związku z powyższym, administrator powinien poczynić możliwe środki pozwalające mu na weryfikację podmiotu przetwarzającego. Ze względu na wspominane administracyjne kary pieniężne, decyzja administratora w zakresie wyboru podmiotu przetwarzającego nie powinna być podejmowana pochopnie. Stanowi to uzasadnienie do podejmowania przez administratora działań polegających  np. na audycie podmiotu przetwarzającego lub żądania wypełnienia formularza pozwalającego na weryfikację takie podmiotu (tzw. lista kontrolna).

Więcej informacji
dotyczących sposobów kontroli procesora możesz przeczytać w artykule: Zgodność procesora z RODO - sposoby jej weryfikacji.

Co powinna zawierać umowa powierzenia?

Po podjęciu decyzji w zakresie wyboru odpowiedniego podmiotu przetwarzającego, pozostaje już tylko podpisanie samej umowy powierzenia.  Określając jej treść, należy pamiętać o brzmieniu art. 28 ust. 3 RODO, według którego, umowa powinna obejmować:

  1. przedmiot przetwarzania - będzie on powiązany z realizacją przedmiotu umowy głównej zawartej pomiędzy administratorem a podmiotem przetwarzającym np. na outsourcing działań marketingowych, gdy dla ich wykonania konieczne jest przetwarzanie danych osobowych,
  2. czas trwania przetwarzania - co do zasady powiązany jest z realizacją przez podmiot zewnętrzny usługi na rzecz administratora w oparciu o umowę zlecenia bądź świadczenia usług zawartą pomiędzy stronami,
  3. charakter przetwarzania - należy opowiedzieć się za rozumieniem tego terminu jako określenie następujących czynników przetwarzania danych osobowych: częstotliwości, powtarzalności, czasowości, długoterminowości, masowości z uwzględnieniem rodzajów zastosowanych technologii,
  4. cel przetwarzania - określenie po co procesor ma przetwarzać dane osobowe w imieniu administratora,
  5. rodzaj danych osobowych - wymienienie jakie konkretnie dane osobowe będą podlegały powierzeniu przy uwzględnienia podziału na dane zwykłe (przykładowo wymienione w art. 4 pkt 1 RODO) oraz dane szczególnych kategorii (katalog zawarty w art. 9 ust. 1 RODO),
  6. kategorię osób, których dane dotyczą - sprecyzowanie grupy osób, których dane zostały powierzone do przetwarzania np. dane klientów, dane pracowników,
  7. obowiązki i prawa administratora - w dużej części prawa administratora będą powiązane z realizacją obowiązków nałożonych przez podmiot przetwarzający (o czym mowa poniżej). Do obowiązków administratora określonych umownie można zaś zaliczyć np. sposób oraz termin przekazania do przetwarzania danych osobowych oraz udzielanie wszelkich informacji niezbędnych dla procesora do realizacji umowy powierzenia.

ODO Nawigator

Niezależnie od powyższego, umowa powierzenia winna określać również obowiązki podmiotu przetwarzającego. Ich minimalny zakres został przedstawiony w przywołanym już art. 28 ust. 3 RODO. Do katalogu tego należy zaliczyć m.in.:

  • przetwarzanie danych jedynie na udokumentowane polecenie administratora, w tym przekazywania danych do państw trzecich (w tym miejscu autor przychyla się do poglądu, że polecenie może zostać zawarte w treści samej umowy powierzenia, jednakże może ono ulegać modyfikacjom lub aktualizacjom za pośrednictwem odrębnych dokumentów, już na etapie realizacji umowy),
  • zapewnienie, że dane będą przetwarzane jedynie przez osoby posiadające upoważnione do przetwarzania danych oraz zobowiązane do zachowania tajemnicy,
  • zobowiązanie do pomocy administratorowi w wywiązywaniu się przez niego z obowiązków np. realizacji żądań osób, których dane są przetwarzane (określonych w rozdziale III RODO), zgłaszania naruszeń ochrony danych do Prezesa Urzędu Ochrony Danych oraz osoby, której dane dotyczą (art. 33 i art. 34 RODO),
  • zwrot lub usuwanie danych osobowych po zakończeniu  świadczenia usługi, z którą powiązane jest powierzenie przetwarzania danych osobowych (w zależności od decyzji administratora),
  • przekazanie wszelkich informacji dotyczących przetwarzania w ramach zawartej umowy powierzenia oraz umożliwienie administratorowi przeprowadzania audytów w zakresie realizacji tej umowy.

Ważne
Podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, pomaga administratorowi danych w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą oraz innych nałożonych na administratora przepisami RODO. Zaleca się aby rola podmiotu przetwarzającego polegała na przekazaniu administratorowi, w ustalonym przez stronie terminie, wszelkich informacji niezbędnych do realizacji określonego obowiązku.

Powierzenie a podpowierzenie danych

Szczególnie istotnym zagadnieniem, koniecznym do uregulowania w ramach umowy powierzenia jest kwestia współpracy procesora z jego podwykonawcami odpowiedzialnymi za przetwarzanie powierzonych danych osobowych (tzw. subprocesorami). W pierwszej kolejności umowa powinna przesądzić o tym, czy podmiot przetwarzający ma w ogóle możliwość podpowierzenia danych administratora swoim podwykonawcom. W tym zakresie administrator może wyrazić ogólną zgodą na takie działania, bądź uzależnić je od zgody szczególnej (w zależności od konkretnego przypadku). Umowa powierzenia powinna w szczególności precyzować: tryb wystąpienia o zgodą na podpowierzenie, w tym czas jej złożenia oraz termin jej wyrażenia (należy bowiem pamiętać, że zgoda powinna mieć charakter uprzedni względem samej czynności podpowierzenia). 

Ważne
RODO przewiduje podpowierzanie wprost w art. 28 ust. 2 i 4, jednak pod warunkiem uzyskania szczególnej lub ogólnej pisemnej zgody administratora danych.

Przepisy RODO stanowią wprost, że odpowiedzialność za przetwarzanie danych przez subprocesora ponosi sam podmiot przetwarzający dane imieniu administratora. Zgodnie bowiem z art. 28 ust. 4 RODO w sytuacji korzystania przez procesora z subprocesora, umowa pomiędzy tymi podmiotami winna nakładać na ten drugi te same obowiązki ochrony danych jak w umowie zawartej pomiędzy administratorem a podmiotem przetwarzającym.

Kiedy stosować umowę powierzenia?

Powierzenie przetwarzania danych osobowych będzie miało miejsce w sytuacji, gdy podmiot zewnętrzny świadczy pewien rodzaj usług na rzecz administratora, z którymi związane jest przetwarzanie danych osobowych. Istota powierzenia przetwarzania danych osobowych jest ściśle powiązania z pojęciem outsourcingu, przez które należy rozumieć zlecenie podmiotowi zewnętrznemu (wyspecjalizowanemu w określonej dziedzinie), realizacji czynności związanych z funkcjonowaniem administratora. Można zatem wymienić następujące przykłady sytuacji, w których co do zasady zobowiązani będziemy do zawarcia umowy powierzenia:

  1. zewnętrzna obsługa w zakresie Inspektora Ochrony Danych,
  2. zewnętrzna obsługa księgowa przedsiębiorstwa,
  3. zewnętrzna obsługa kadrowo – płacowa przedsiębiorstwa,
  4. korzystanie z usług zewnętrznego archiwum,
  5. zewnętrzne usługi niszczenia dokumentów,
  6. prowadzenie kampanii marketingowych przez podmiot zewnętrzny na zbiorze danych przekazanych przez administratora lub budowanych na zlecenie administratora (np. mailing do klientów administratora),
  7. świadczenie przez podmiot zewnętrznych usług IT (np. hosting),
  8. usługi zewnętrznego call center,
  9. świadczenie usług ochrony obiektów w tym ich monitorowania przez podmiot zewnętrzny.

Akredytowany kurs IOD

Podsumowanie

Jak wykazano powyżej, przepisy RODO w sposób precyzyjny regulują formalne wymogi przetwarzania danych w imieniu administratora w tym niezbędne elementy umowy powierzenia. Umowa zgodna z przywołanymi przepisami unijnego rozporządzenia, ma na celu zapewnienie administratorowi lepszej kontroli nad przetwarzanymi przez niego danymi osobowymi. Uwzględniając to, należy podkreślić, że wybór przez administratora odpowiedniego podmiotu przetwarzającego oraz gruntowne uregulowanie powierzenia przetwarzania danych osobowych w ramach zawartej umowy, przekłada się bezpośrednio na bezpieczeństwo danych osobowych a tym samym na interesy i prawa osób, których dane dotyczą. Pomocne w tym zakresie narzędzia znajdą Państwo pod poniższymi linkami.

Pobierz: wzór umowy powierzenia zgodny z RODO

Pobierz: formularz do weryfikacji podmiotu przetwarzającego (Lista kontrolna)

-
Najpopularniejsze

Najnowsze


Adw. Łukasz Pociecha
11 stycznia 2018

Biuletyn ODO 24
Biuletyn ODO 24

Zobacz poprzednie wydanie.