Dość często zdarza się, że prowadzący działalność udostępnia w jakiś sposób dane osobowe swoich klientów, kontrahentów lub współpracowników innym podmiotom w ramach ourtsourcingu. W sytuacji, gdy podmiot trzeci korzysta z danych osobowych, których nie zebrał samodzielnie, powinien mieć do tego jakąś podstawę.

Analizie poddam dzisiaj umowę powierzenia pod RODO oraz wyjaśnię, czym jest owe powierzenie.

Powierzenie przetwarzania danych osobowych

Powierzenie przetwarzania danych osobowych to nic innego, jak udostępnienie komuś innemu danych osobowych. Udostępnienie, które jest w pełni uregulowane przez administratora – tj. to on decyduje jakie dane udostępnia, w jakim zakresie, po co i w jakim celu. Najistotniejsze jest to, że podmiot trzeci ma przetwarzać te dane osobowe w imieniu administratora.

Kim jest administrator danych osobowych

Administratorem danych osobowych jest osoba, która zarządza danymi osobowymi. Zbiera je w sposób bezpośredni lub pośredni do swojej bazy. To często właśnie administratorowi danych udziela się zgody na przesyłanie informacji marketingowych. Administrator decyduje po co i kiedy wykorzysta dane osobowe, oraz w jakim zakresie.

Pojęcie administratora nie zmienia się w sposób znaczący pod rządami nowych przepisów Ogólnego rozporządzenia o ochronie danych (RODO lub po angielsku GDPR) w stosunku do tego, co obowiązuje na dzień dzisiejszy.

Jeżeli doszłoby do sytuacji, gdzie ten podmiot trzeci przekroczy zakres swoich uprawnień, stanie się niejako administratorem tych danych osobowych w zakresie, który nie dotyczy celu, jaki ustalił pierwotny administrator. Będzie ponosił odpowiedzialność za przetwarzanie tych danych tak, jak sam administrator. Podobnie byłoby przy sprzedaży danych osobowych.

W innym wypadku, gdy równocześnie, wspólnie i za porozumieniem zaczniecie  z drugim podmiotem decydować o sposobie i celu korzystania z danych osobowych, będziecie współadministratorami. Jeżeli chcecie ułożyć taką relację, warto to zrobić w formie umowy. O tym Wam wkrótce z pewnością napiszę.

Kiedy powierzamy przetwarzanie danych osobowych

Sytuacji, gdzie administrator powierzy przetwarzanie danych osobowych, które sam zebrał jest bardzo wiele. Powierzenie wystąpić może w relacji m.in. z:

  • hostingodawcą/serwerownią,
  • biurem księgowym,
  • współpracownikami na umowach cywilnoprawnych,
  • podwykonawcami.

Zależy to od sytuacji, czy dochodzi do przetwarzania danych osobowych przez tę osobę, czy dana osoba może zostać uznana za personel lub, czy mówimy o zewnętrznym podmiocie trzecim.

To właśnie z tym podmiotem trzecim administrator musi zawrzeć umowę powierzenia przetwarzania danych osobowych.

W sytuacji, gdy mówi się o pracownikach na umowach o pracę lub współpracownikach na umowach cywilnoprawnych, których można zakwalifikować jako personel administratora, można takiej osobie udzielić odpowiedniego upoważnienia – zamiast zawierać z nią odrębnej umowy powierzenia.

Umowa powierzenia – z czego się składa

Ogólne rozporządzenie o ochronie danych wskazuje szereg obowiązków, jakie musimy spełnić jako podmiot przetwarzający – a w związku z tym, jakie podstawowe elementy musi zawierać umowa powierzenia:

  • przedmiot przetwarzania,
  • czas trwania przetwarzania,
  • charakter i cel przetwarzania,
  • rodzaj danych osobowych,
  • kategorię osób, których dane dotyczą,
  • obowiązki i prawa administratora,
  • obowiązki podmiotu przetwarzającego.

Zgodnie z art. 28 ust. 3 RODO umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:

  1. przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
  2. zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
  3. podejmuje wszelkie środki bezpieczeństwa wymagane na mocy art. 32 (RODO);
  4. przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w art. 28 ust. 2 i 4 (RODO);
  5. biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;
  6. uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 (RODO);
  7. po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
  8. udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

Dodatkowo, w związku z obowiązkiem określonym w lit. h) powyżej podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.

Jak widać powyżej, RODO nakłada znacznie więcej obowiązków na administratorów, jeżeli chodzi o konstrukcję samej umowy powierzenia. Dla zestawienia, poniżej przedstawiam z jakich elementów powinna składać się umowa powierzenia pod aktualnym prawem (Ustawa o ochronie danych osobowych na dzień: 16.02.2018):

Art. 31 UODO:

  1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.
  2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
  3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39 (UODO), oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a (UODO). W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.
  4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

Wspomniałem o minimalnych wymaganiach – otóż, RODO wskazuje zakres, który powinna obejmować umowa powierzenia, jednakże nic nie stoi na przeszkodzie, by umowa kształtowała w szerszy sposób, jeszcze bardziej szczegółowy zobowiązanie między administratorem a podmiotem, któremu powierzamy przetwarzanie danych osobowych.

Umowa powierzenia w praktyce

Wiedząc już z jakich elementów umowa powierzenia powinna się składać, wystarczy, że udzielisz odpowiedzi na następujące pytania np.:

  • jakie dane będę powierzał określonemu podmiotowi,
  • jakie działania podmiot ten będzie mógł prowadzić przy użyciu tych danych,
  • przez jaki czas będzie on mógł przetwarzać dane,
  • itd.

Sporządzenie umowy powierzenia wymaga zaznajomienia się z procesami zachodzącymi w danej działalności. Całe RODO, jak pewnie już wiesz, ma m.in. na celu uświadomienie przedsiębiorców pod kątem bezpieczeństwa oraz poznania problematyki przetwarzana danych osobowych.

Forma pisemna umowy powierzenia

W obowiązującym do maja br. stanie prawnym umowę powierzenia można zawrzeć wyłącznie w formie pisemnej. Pomimo tego wymogu, wielkie korporacje nie wysyłały oczywiście oryginalnych wersji umów do każdego swojego klienta tylko podpisane skany. Skan formą pisemną jednak nie jest.

RODO wychodzi naprzeciw użytkownikom Internetu. Umowę powierzenia można zawrzeć w formie pisemnej, w tym także elektronicznej. Pomimo tego, że w polskim ustawodawstwie mamy wskazanie formy elektronicznej, na formę elektroniczną pod RODO w tym wypadku trzeba patrzeć europejsko – czyli bardzo szeroko.

 

Potrzebujesz indywidualnej pomocy prawnej?

Poszukujesz kogoś, kto rozwiąże Twój problem?

Napisz do mnie na a.szczudlo@snazykgranicki.pl!

 

Kończąc – dane osobowe, umowa powierzenia oraz Ogólne rozporządzenie o ochronie danych to aspekty prowadzenia działalności, których nie można pominąć, jeżeli przetwarzacie dane osobowe w jakikolwiek sposób. Udostępniając podmiotom trzecim dane osobowe, które otrzymaliście od klientów należy odpowiednio zabezpieczyć poprzez zawarcie stosownej umowy powierzenia.

Arkadiusz Szczudło

Arkadiusz Szczudło

Jestem prawnikiem w kancelarii Snażyk Korol Mordaka sp.k. Pomagam przedsiębiorcom i freelancerom z branży kreatywnej, a w szczególności mody i newtech. Z powodzeniem prowadzę dla nich blogi oraz liczne poboczne projekty (...) Możesz do mnie pisać na a.szczudlo@skmlegal.pl.

More Posts - Website - Twitter - Facebook - LinkedIn - YouTube - Instagram

Pin It on Pinterest