RODO w praktyce: czym jest umowa powierzenia przetwarzania danych osobowych?

Jak już wskazywaliśmy w poprzednim artykule o podstawowych pojęciach związanych z przetwarzaniem danych osobowych, proces przetwarzania danych występuje w każdym przedsiębiorstwie i ze względu na występujące regulacje, należy mu się bliżej przyjrzeć, a na pewno nie można ich zignorować. W praktyce, administratorzy często przekazują przetwarzanie danych dodatkowym podmiotom i w tym zakresie RODO (art. 28) nakłada na administratorów szczególne zobowiązania dotyczące formułowania umowy powierzenia.

Kiedy powinniśmy zawrzeć umowę powierzenia przetwarzania danych osobowych?

Przede wszystkim, należy sobie odpowiedzieć na pytanie kiedy dane, które otrzymaliśmy będą przetwarzane przez inne podmioty.

Jeśli więc dochodzi do sytuacji, w której np. jakaś inna firma zewnętrzna świadczy dla Ciebie dodatkowe usługi z wykorzystaniem określonych, powierzonych Tobie danych osobowych, to wtedy właśnie konieczne jest zawarcie tytułowej umowy powierzenia.

Zatem do powierzenia przetwarzania danych osobowych może dojść w sytuacji współpracy m.in:

-z zewnętrznym biurem księgowym (zajmującym się np. rozliczeniami Twoich pracowników)

-z agencjami rekrutacyjnymi;

-z zewnętrzną firmą świadczącą dla Twojego przedsiębiorstwa usługę archiwum czy też niszczenia dokumentów;

-z hostingodawcą, o którym szerzej mówimy w naszym innym artykule.

Ciekawostką jest, że nie ma konieczności zawierania umowy powierzenianprzetwarzania danych osobowych (DPA) z Twoją kancelarią prawną. Jako zawód zaufania publicznego, który ma ustawowy nakaz zachowania tajemnicy i ochrony danych przed ujawnienie, nie mamy obowiązku zawierać DPA. ~Damian Sawicki

Nie trzeba jednak takiej umowy zawierać z podmiotami, które otrzymują określone dane na podstawie przepisów prawa, ponieważ tutaj dochodzi do udostępnienia danych, a nie ich przetwarzania. Do grona takich podmiotów zaliczyć można Policję, ZUS, Prokuraturę.

Umowa powierzenia przetwarzania danych osobowych stała się wyjątkowo popularna wraz z rozrostem świadczonych na rynku usług, a także coraz częstszym wykorzystywaniu outsourcingu.

Zatem, rozpoczynając współpracę z jakimkolwiek z zewnętrznych podmiotów, zastanów się czy dojdzie do powierzenia przetwarzania danych osobowych. Jeśli tak, to wówczas pojawia się konieczność zawarcia umowy powierzenia.

‍

Elementy umowy o powierzeniu przetwarzania danych osobowych

Umowa powierzenia przetwarzania danych osobowych została określona w art. 28 RODO, który wprost wskazuje na obligatoryjne elementy tejże umowy. Umowa powierzenia, która nie będzie spełniała określonych wymogów będzie nieprawidłowa, a na strony tejże umowy mogą zostać nałożone kary.

Stronami takiej umowy są niewątpliwie administrator (podmiot decydujący o sposobie i celach przetwarzania przekazanych danych) oraz podmiot przetwarzający, który będzie przetwarzał dane na udokumentowane polecenie administratora.

W rozporządzeniu RODO znajdujemy dokładne wskazanie kto może być zakwalifikowany jako podmiot przetwarzający (art. 4 pkt 8). Może to być:

-osoba fizyczna,

-organ publiczny,

-jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Podmiot przetwarzający przetwarza dane w imieniu administratora, jednak nie staje się samym administratorem (nie decyduje o celach przetwarzania), a na podstawie umowy powierzenia odpowiednio przetwarza oraz dokonuje operacji na przekazanych danych. Niemniej, ponosi on odpowiedzialność za prawidłowość ww. aktywności tak jak i administrator danych.

Podkreślenia wymaga, że podmiot przetwarzający nie może wykorzystywać otrzymanych danych do własnych celów (np. nie może wykorzystywać dalej informacji osób których dane dotyczą w celach marketingowych).

Czas trwania przetwarzania danych osobowych jest zazwyczaj uzależniony od umowy głównej między określonymi osobami, których dane dotyczą.

Opisywana umowa powierzenia przetwarzania danych osobowych powinna zostać zawarta na piśmie lub w sposób elektroniczny.

Przedmiot umowy powierzenia

Zgodnie z wymogami wskazanymi w przepisach RODO, umowa powierzenia przetwarzania danych osobowych powinna zawierać:

-cel przetwarzania- do jednego z podstawowych obowiązków administratora danych jest określenie celu przetwarzania, w związku z czym administrator w umowie powierzenia musi wskazać podmiotowi przetwarzającemu jaki jest ów cel przetwarzania;

-rodzaj danych osobowych- należy pamiętać o wskazaniu rodzaju danych, które podlegały powierzeniu (np. czy są to dane zwykłe czy też wrażliwe);

-określnie katalogu osób których dane dotyczą- administrator musi także wskazać kategorię osób, których dane zostały powierzone np. czy są to dane pracowników czy innych kontrahentów;

-czas trwania przetwarzania- jest on zazwyczaj powiązany z umową główną określającą usługę świadczoną przez podmiot przetwarzający (np. usługi kadro-księgowe).

Wskazuje się także, że umowa powierzenia powinna zawierać postanowienie w zakresie obowiązku usunięcia określonych danych w momencie wygaśnięcia umowy. Choć wydaje się to oczywiste, dokładne uregulowanie tej materii może mieć kluczowe znaczenie dla obu stron, ponieważ oboje ponoszą odpowiedzialność za ochronę przekazanych danych.

W takiej umowie można wskazać, że dane mają wrócić do administratora danych w ciągu np. 3 dni od zakończenia współpracy, a dodatkowo podmiot przetwarzający zobowiązuje się do pisemnego potwierdzenia usunięcia wszelkich kopii przechowywanych danych.

Obowiązki i prawa administratora danych

Jednym z najważniejszych obowiązków spoczywających na administratorze danych jest odpowiedni wybór podmiotu przetwarzającego.

Stanowi o tym samy pkt 81 preambuły oraz art. 28 RODO nakładający obowiązek wyboru takiego podmiotu przetwarzającego, który dodatkowo gwarantuje wykorzystywanie odpowiednich środków technicznych, tak aby zapewnić należytą ochronę powierzonych danych osobowych.

Nie należy zatem podejmować decyzji co do wyboru podmiotu przetwarzającego zbyt szybko i bez rozwagi!

Żeby uchronić się przed nieuczciwymi osobami, zaleca się dokładne sprawdzenie potencjalnego podmiotu przetwarzającego, tak żeby mieć pewność że wszystkie kwestie organizacyjne oraz obowiązki są spełnione.

Dobrą praktyką może być np. przeprowadzenie wcześniejszego audytu, bądź dołączenie do umowy powierzenia przetwarzania danych osobowych załącznika stanowiącego formularz weryfikacyjny potwierdzający realizację wymogów stawianych przez przepisy RODO. Jest to o tyle przydatne, że jeśli w przyszłości doszłoby do jakiegokolwiek sporu, administrator od początku dysponuje dowodem mogącym mieć kluczowe znaczenie dla wyniku postępowania.

Administrator ma także prawo do dokonywania audytów i sprawdzania czy działania procesora są zgodne z RODO. Warto zatem w umowie powierzenia zawrzeć np. termin, w którym to administrator poinformuje o przeprowadzeniu kontroli.

Administrator danych może także w umowie powierzenia zastrzec brak możliwości procesora do dalszego podpowierzenia przekazanych danych osobowych. Jednocześnie, wskazuje się że umowa powierzenia przetwarzania danych osobowych może zawierać odmienne postanowienie zezwalające podmiotowi przetwarzającemu na dalsze powierzenie przetwarzania danych osobowych np. osobom ściśle wskazanym w umowie.

Jakie obowiązki ma podmiot przetwarzający (procesor)?

Obowiązki podmiotu przetwarzającego działającego na zlecenie administratora, zostały również sprecyzowane w rozporządzeniu. Powierzone dane muszą być chronione przynajmniej na takim samym poziomie jaki zapewniał to administrator danych.

Do zadań procesora (podmiotu przetwarzającego) należy też zapewnienie tajemnicy przekazanym danym czy też wdrożenie odpowiednich środków bezpieczeństwa lub organizacyjnych gwarantujących ochronę danych. Będzie on także ponosił odpowiedzialność za przetwarzanie przekazanych danych dla celów własnych.

W związku z uprawnieniem administratora do ograniczenia powierzenia przetwarzania danych do określonych w umowie podmiotów, procesor nie może zdecydować się na podpowierzenie tychże danych bez uzyskania najpierw zgody administratora.

Dodatkowo, podmiot przetwarzający ma za zadanie niesienie pomocy administratorowi w zakresie spoczywających na nim obowiązków dotyczących przetwarzania wynikających z RODO.

Kolejnym ważnym obowiązkiem jest prowadzenie rejestru czynności. Z konieczności jego prowadzenia będzie zwolniony podmiot, który zatrudnia mniej niż 250 osób. Niemniej, liczba zatrudnianych osób nie będzie mieć znaczenia, jeśli przetwarzanie może prowadzić do naruszenia praw lub wolności osób których dane dotyczą, nie jest sporadyczne, bądź dotyczy szczególnych kategorii danych osobowych o których mowa w art. 9 ust. 1 RODO (np. mówiące o przekonaniach religijnych, poglądach politycznych).

Podsumowanie

Na obu podmiotach tj. administratorze danych jak i podmiocie przetwarzającym spoczywa zobowiązanie w postaci zapewnienia odpowiedniej ochrony danych osobowych. Na powierzenie przetwarzania danych osobowych decyduje się wielu przedsiębiorców, co wynika z zawieranych w obrocie umów.

Polecamy zwrócić szczególną uwagę na zawarcie umowy powierzenia przetwarzania danych osobowych, ponieważ jest ona kluczowym dokumentem zapewniającym działanie zgodnie z obowiązującymi przepisami RODO.

Nieprawidłowe uregulowanie relacji występującej między administratorem, a podmiotem przetwarzającym może prowadzić do nałożenia kar finansowych (art. 83 RODO).

‍