Zawarłeś już
umowy powierzenia?

Umowy powierzenia zawsze budziły wiele wątpliwości i zdziwienia zarówno wśród działów prawnych, firm księgowych jak i działów IT. Powodem jest fakt, że to jedna z niewielu umów, w naszym systemie prawnym, która jest nieodpłatna, co jednak nie znaczy, że nie powoduje kosztów po jednej lub drugiej stronie umowy. Po co podpisywać takie umowy? Czy na pewno musimy je zawierać? Jeśli musimy, to w jakich sytuacjach? Odpowiedzi poniżej.

Brak umowy – sankcje karne!

Zgodnie z art. 31 Ustawy o ochronie danych osobowych, podmioty mają prawo powierzać przetwarzanie danych osobowych. Co to oznacza w praktyce? Większość podmiotów robiła to jeszcze przed wdrożeniem systemu ochrony danych osobowych. Najczęstszą podstawą do zawarcia umowy powierzenia przetwarzania danych osobowych jest umowa o świadczenie usług na rzecz danego podmiotu, np.: serwis IT, czyli tzw. outsourcing informatyczny (pobierz wzór umowy powierzenia).

Umowy powierzenia tylko pozornie są możliwością, czy też opcją. W praktyce brak ich brak może nas sporo kosztować. Po pierwsze, grozi nam odpowiedzialność karna – art. 51 UoODO za udostępnienie danych osobowych osobie nieupoważnionej przewiduje, w najlepszym wypadku, karę grzywny, w najgorszym – do 2 lat pozbawienia wolności. Taką nieuprawnioną osobą będzie w tym przypadku, informatyk z outsourcingu. Po drugie, w sytuacji, gdy z winy zewnętrznego podmiotu dojdzie do wycieku danych osobowych pozostających w naszych zbiorach, nie mamy umownej podstawy prawnej dochodzenia roszczeń. Po trzecie i najważniejsze, ponosimy faktyczne straty w związku z ograniczoną odpowiedzialnością naszego usługodawcy, np.: wyniesienie bazy danych kontaktowych naszych klientów i sprzedanie jej konkurencji. Z drugiej strony, ze względu na ewentualną kontrolę GIODO, firmy zewnętrzne również powinny zadbać o to, by mieć takie umowy. Trudno będzie bowiem odpowiedzieć inspektorowi GIODO na pytanie o podstawę przetwarzania danych osobowych, należących do innego podmiotu…

Czy umowa musi być?

Co do zasady umowa powierzenia może być odrębną umową, ale sama umowa o świadczenie usług również może zawierać zapisy dotyczące przetwarzania danych osobowych. Należy jednak zwrócić uwagę, aby spełnione zostały warunki określone w Ustawie – powierzenie umowne musi określać cel i zakres przetwarzanych danych osobowych. W przykładowej umowie outsourcingu IT, celem będzie oczywiście świadczenie usług w zakresie serwisu IT, czyli to, co faktycznie zewnętrzny informatyk dla nas robi. Zakres przetwarzania jest nieco bardziej skomplikowany – musimy określić konkretne zbiory danych osobowych, które będzie on przetwarzał w trakcie świadczenia usług. W praktyce oznacza to, że jeżeli pominiemy jakiś cel lub zakres przetwarzania w umowie to te obszary nadal nie będą chronione, tak jakby nie było żadnej umowy.

Przykładowy zapis dotyczący powierzenia przetwarzania może wyglądać następująco:

Firma zobowiązuje się do przetwarzania Danych osobowych wyłącznie w zakresie i celu wskazanym w umowie (…) oraz zgodnie z jej postanowieniami, a także z przepisami niniejszej Umowy i Ustawy o ochronie danych osobowych, w szczególności z art. 36-39a, dotyczącymi zabezpieczenia Danych osobowych, w tym do zabezpieczenia ich przed udostępnieniem osobom nieupoważnionym, bezprawnym pozyskiwaniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem Ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Zabezpieczenie danych.

Kolejnym warunkiem powierzenia przetwarzania danych osobowych jest zapewnienie co najmniej takich samych zabezpieczeń danych przez podmiot zewnętrzny, jakie zapewnia podmiot powierzający. Zapisy umowne muszą określać, iż podmiot przetwarzający dane osobowe w naszym imieniu spełnia wymogi Ustawy o ODO, czyli posiada dokumentację ochrony danych osobowych, nadał upoważnienia pracownikom, itp. Stworzenie systemu ochrony danych osobowych, może się okazać procesem kosztownym, a niemal zawsze wymaga doświadczenia lub pomocy z zewnątrz. Tu warto skorzystać z bezpłatnego oprogramowania dostępnego w sieci, jak np. ABIeye (link).

Posiadanie dokumentacji ochrony danych osobowych to, niestety, nie wszystko. Niejednokrotnie trzeba również dodatkowo zakupić sprzęt informatyczny, oprogramowanie lub niszczarki. Wszystko po to, by dorównać zabezpieczeniom, drugiej strony umowy powierzenia. Czasem istnieje, wobec tego, pokusa by umownie zadeklarować posiadanie zabezpieczeń, ale w praktyce nie spełnić tego wymogu. Lepiej jednak tego nie robić, gdyż druga strona umowy ma prawo nas skontrolować. Najczęściej kontrolerem kontrahenta będzie Administrator Bezpieczeństwa Informacji, który zechce się upewnić czy dane, pozostające pod jego nadzorem są faktycznie odpowiednio zabezpieczone.

Warto podkreślić, że w sytuacji gdy dojdzie, przykładowo, do kradzieży danych osobowych, oba podmioty (obie strony umowy powierzenia) odpowiadają solidarnie. Umowa powierzenia nie zwalnia „właściciela” danych osobowych z odpowiedzialności za ich właściwe zabezpieczenie.

Umowa powierzenia, czy tzw. NDA.

Z kim musimy mieć podpisane umowy powierzenia, a z kim wystarczą zapisy o zachowaniu poufności (pobierz wzór umowy poufności), czyli zwykłe NDA (non-disclosure agreement)?

Przykładowo, z serwisem sprzątającym nie musimy mieć podpisanej umowy powierzenia przetwarzania danych osobowych, gdyż w zakresie świadczonych usług do przetwarzania danych nie dochodzi. Niemniej, personel sprzątający może wejść w posiadanie danych osobowych, np.: nieopatrznie pozostawione na biurku dokumenty, i dlatego powinniśmy się zabezpieczyć tzw. umową o zachowaniu poufności. Jeżeli zlekceważymy zapisy dotyczące poufności to może się okazać, że pomimo umów powierzenia z pozostałymi firmami, to właśnie personel sprzątający lub ochroniarz wyniesie naszą bazę klientów.

Dane osobowe na sprzedaż.

Rynek baz danych osobowych potencjalnych klientów stale rośnie. Podmioty są skłonne zapłacić nawet do 100 zł za dane dotyczące jednej osoby, która z dużym prawdopodobieństwem zechce kupić produkt w danej branży. Z tego właśnie powodu powinniśmy szczególnie zadbać o dane naszych klientów, gdyż ryzyko ich utraty stale rośnie. Umowy powierzenia czy poufności dają nam choć odrobinę kontroli nad tym, jak wygląda przepływ danych osobowych w naszym podmiocie i poza nim.


Maciej
18 września 2013
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>