Umowa powierzenia przetwarzania danych osobowych

7 maja 2018 |

Wielu z Was zastanawia się kiedy dokładnie dochodzi do powierzenia przetwarzania danych osobowych?  Zadajecie sobie zasadnicze pytanie, czy podpisywać umowy powierzenia? Trudności przysparza właściwe określenie stron – kto jest administratorem a kto podmiotem przetwarzającym? Dziś kilka wskazówek przed zbliżającym się 25 maja 😉.

Kto jest kim?

 

Najistotniejszym w całej konstrukcji powierzenia przetwarzania danych osobowych jest właściwe określenie która ze stron jest administratorem danych a która podmiotem przetwarzającym.  Na gruncie dotychczasowej regulacji (ustawy o ochronie danych osobowych), za administratora uważano organ, jednostkę organizacyjną, podmiot lub osobę, decydujące o celach i środkach przetwarzania danych osobowych. RODO (unijne rozporządzenie o ochronie danych osobowych) na tym gruncie nie wprowadza rewolucji.  Pojęcie „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych(art. 4 pkt 7 RODO). Tym samym określając który z podmiotów jest administratorem, należy odpowiedzieć na kluczowe pytanie- kto wybiera  cel   zbierania i wykorzystywania danych oraz kto podejmuje  (końcową i ostateczną) decyzję o sposobie dokonywania takich czynności. 

 

Obecnie, polska ustawa o ochronie danych osobowych nie wyjaśnia pojęcia podmiotu przetwarzającego. Stan ten zmieni się po 25 maja 2018 r., bowiem RODO wprowadza wprost definicję procesora, co ułatwi odpowiednie przypisanie ról w procesie przetwarzania.

 

„Podmiot przetwarzający” według RODO, oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora (art. 4 pkt 8 RODO).

 

Administrator i podmiot przetwarzający są uczestnikami podstawowego procesu przetwarzania podejmowanego w określonym celu i zakresie. Jednak występowanie podmiotu przetwarzającego w procesie przetwarzania uzależnione jest od decyzji administratora. Administrator może bowiem wybrać sposób przetwarzania wymagający wyłącznie udziału osób bezpośrednio mu podlegających, upoważnionych do przetwarzania pod jego zwierzchnictwem (zatrudniona na umowie o pracę księgowa, zatrudniony ochroniarz czy informatyk).  Może on także zdecydować o ewentualnym zaangażowaniu w procesy przetwarzania podmiotów zewnętrznych działających w jego imieniu (zewnętrzna księgowość, współpraca z profesjonalną firmą ochroniarską, outsourcing informatyczny).

 

W całej tej zagadce „kto jest kim”, decydujące znaczenie ma to, czy dany podmiot działa w imieniu administratora – w jego interesie i w ustalonym przez niego celu.  Podmiot przetwarzający, czyli przykładowo zewnętrzna księgowość, co do zasady działać może wyłącznie na udokumentowane polecenie administratora. Bowiem to administrator ustala cele i sposoby przetwarzania – decydując  się na współpracę z zewnętrznym podmiotem świadczącym usługi księgowe, przekazuje mu dane do rozliczeń i poleca przetwarzanie tych danych celem wykonania głównej umowy o usługi księgowe. Analogicznie można to przedstawić w odniesieniu do pozostałych klasycznych przypadków powierzenia przetwarzania – firma ochroniarska, kurierzy, zewnętrzni informatycy czy dostawcy serwerów.

 

Wszystkie podmioty zewnętrzne, które z wyboru i polecenie administratora przetwarzają dane osobowe– to właśnie podmioty przetwarzające 😉.

 

Umowa powierzenia to coś nowego?

 

Umowa powierzenia nie jest czymś nowym i funkcjonowała także na tle ustawy o ochronie danych osobowych. Zgodnie z art. 31 dotychczasowej ustawy administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych a podmiot przetwarzający może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. Dotychczas ustawodawca nie wprowadził żadnych konsekwencji w przypadku niedochowania formy pisemnej. Nic więc dziwnego, że wiele podmiotów, w dużej części nieświadomie, nie zawierało wcale takich umów.  Jednak do 25 maja to się musi zmienić 😉.

 

Prawidłowa konstrukcja umowy powierzenia z RODO

 

W pierwszej kolejności administrator musi dokonać świadomego wyboru podmiotów które będą przetwarzały dane osobowe w jego imieniu.  RODO mówi wprost, że administrator korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

 

Gdy administrator podejmie decyzję o powierzeniu przetwarzania danych konkretnemu podmiotowi, czas podpisać umowę w tym zakresie- lecz co właściwie powinno się w niej zawierać? O tym mówi już wprost art. 28 ust 3 RODO: przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

 

Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:

  • przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;

  • zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

  • podejmuje wszelkie odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku

  • przestrzega warunków korzystania z usług innego podmiotu przetwarzającego- ważnym  jest określenie w umowie czy administrator udziela zgody na dalsze powierzenie przetwarzania danych osobowych, czy też dalsze powierzenie jest możliwe w sytuacji braku sprzeciwu administratora (podpowierzenie).

  • biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w RODO;

  • uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków;

  • po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;

  • udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

 

Ścisłe uregulowanie kwestii wzajemnej współpracy i komunikacji, tak aby zapewnić zarówno odpowiedni stopień bezpieczeństwa danych jak i realizację obowiązków administratora i procesora wynikających z RODO a mających odzwierciedlenie w prawach osób których dane dotyczą, jest niezwykle ważne dla prawidłowości całego procesu.

Strony tego procesu powinny zawrzeć umowę powierzenia w formie pisemnej, aby wywiązać się z obowiązku rozliczalności. Można to zrobić na dwa sposoby-  obok umowy głównej (np. o usługi ochroniarskie czy kadrowo-księgowe) można zawrzeć osobną umowę  powierzenia przetwarzania danych osobowych bądź w treści umowy głównej zawrzeć odpowiednie zapisy, wymagane przez RODO. Niezależnie od wybranego rozwiązania, treść umownego powierzenia powinna zawierać elementy wskazane w art. 28 ust. 3 RODO..

Decyzja zależy od stron. Nie należy jednak zwlekać. Ilość podmiotów, jakim powierzacie dane osobowe jako administrator może się okazać zaskakująco duża a umowy trzeba zawrzeć do 25 maja 😉

 

Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa  oraz ma charakter wyłącznie  informacyjny. Stanowi  wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.

 

 


Skontaktuj się z doradcą

Porozmawiajmy

Ta strona wykorzystuje pliki cookies. Poprzez kliknięcie przycisku „Akceptuj", bądź „X", wyrażasz zgodę na wykorzystywanie przez nas plików cookies. Więcej o możliwościach zmiany ich ustawień, w tym ich wyłączenia, przeczytasz w naszej Polityce prywatności.
AKCEPTUJ