22/09/2022
W dzisiejszych czasach ochrona danych osobowych stała się kluczowym aspektem prowadzenia działalności. Jednym z fundamentalnych narzędzi w tym zakresie jest umowa powierzenia przetwarzania danych osobowych. Pozwala ona administratorom danych na legalne przekazywanie danych osobowych innym podmiotom, zachowując jednocześnie kontrolę nad ich bezpieczeństwem i zgodnością przetwarzania z przepisami prawa.
- Co to jest umowa powierzenia przetwarzania danych?
- Kto może powierzyć przetwarzanie danych osobowych?
- Komu można powierzyć przetwarzanie danych?
- Odpowiedzialność za powierzone dane osobowe
- Forma umowy powierzenia przetwarzania danych
- Obowiązkowe elementy umowy powierzenia przetwarzania danych osobowych
- Dodatkowe postanowienia umowy powierzenia przetwarzania danych osobowych
- Czy umowa powierzenia może być częścią innej umowy?
- Umowa powierzenia a usługi pocztowe
- Czy umowa powierzenia musi być pisemna?
- Elementy umowy powierzenia według RODO
- Umowa powierzenia a podpowierzenie według RODO
- Tabela porównawcza: Umowa powierzenia – Ustawa o ochronie danych osobowych vs. RODO
- Podsumowanie
Co to jest umowa powierzenia przetwarzania danych?
Umowa powierzenia przetwarzania danych osobowych jest instrumentem prawnym, który umożliwia administratorowi danych (czyli podmiotowi decydującemu o celach i środkach przetwarzania danych) przekazanie innemu podmiotowi, zwanemu procesorem, przetwarzania danych osobowych w jego imieniu. Przekazanie to nie oznacza przeniesienia odpowiedzialności administratora, a jedynie powierzenie konkretnych operacji przetwarzania procesorowi.
Kto może powierzyć przetwarzanie danych osobowych?
Wyłącznie administrator danych osobowych jest uprawniony do powierzenia przetwarzania danych. Administrator to podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. To on ponosi główną odpowiedzialność za zgodność przetwarzania z przepisami.
Komu można powierzyć przetwarzanie danych?
Przetwarzanie danych osobowych można powierzyć wyłącznie podmiotowi, który gwarantuje bezpieczeństwo powierzonych danych i spełnia wymogi określone w przepisach o ochronie danych osobowych. Procesor musi wdrożyć odpowiednie środki techniczne i organizacyjne, aby chronić dane przed nieuprawnionym dostępem, utratą, uszkodzeniem czy nielegalnym przetwarzaniem. Ważne jest, aby procesor spełniał wymogi rozporządzenia MSWiA dotyczące dokumentacji przetwarzania danych oraz warunków technicznych i organizacyjnych systemów informatycznych służących do przetwarzania danych osobowych.
Odpowiedzialność za powierzone dane osobowe
Odpowiedzialność za przestrzeganie przepisów o ochronie danych osobowych spoczywa zarówno na administratorze, jak i na procesorze. Administrator, powierzając dane, nie zwalnia się z odpowiedzialności. Jest ona rozłożona na oba podmioty. Administrator nadal pozostaje administratorem danych i jest odpowiedzialny za ogólne ramy przetwarzania, natomiast procesor odpowiada za przetwarzanie danych zgodnie z umową powierzenia i przepisami prawa. W przypadku naruszeń RODO, administrator ponosi odpowiedzialność, co nie wyłącza odpowiedzialności procesora za przetwarzanie danych niezgodnie z umową.
Forma umowy powierzenia przetwarzania danych
Przepisy o ochronie danych osobowych, w tym RODO, jasno określają, że umowa powierzenia przetwarzania danych osobowych musi być zawarta w formie pisemnej lub przy użyciu innego instrumentu prawnego. Forma pisemna może obejmować zarówno tradycyjną formę papierową, jak i formę elektroniczną. Niedopuszczalne jest ustne powierzenie przetwarzania danych. Każde powierzenie musi być udokumentowane pisemnie, aby zapewnić pewność i możliwość weryfikacji warunków powierzenia.
Obowiązkowe elementy umowy powierzenia przetwarzania danych osobowych
Umowa powierzenia przetwarzania danych osobowych musi zawierać określone elementy, aby była zgodna z przepisami. Do kluczowych należą:
Zakres przetwarzania danych
Umowa musi precyzyjnie określać zakres powierzanych danych. Administrator powinien wskazać, jakie konkretnie dane osobowe są powierzane procesorowi. Zwykle określa się kategorie osób, których dane dotyczą (np. pracownicy, klienci) oraz wylicza się kategorie danych (np. imię, nazwisko, adres, numer telefonu). Im bardziej szczegółowy jest zakres, tym większa pewność co do granic powierzenia.
Cel przetwarzania danych
Kolejnym obligatoryjnym elementem jest określenie celu powierzenia przetwarzania danych. Umowa musi jasno wskazywać, w jakim celu dane osobowe są powierzane procesorowi. Może to być powołanie się na konkretną umowę współpracy lub bezpośrednie wskazanie intencji, np. realizacja usług księgowych, marketingowych czy IT. Określenie celu ogranicza procesora do przetwarzania danych wyłącznie w zakresie i dla celów wskazanych w umowie.
Dodatkowe postanowienia umowy powierzenia przetwarzania danych osobowych
Oprócz obligatoryjnych elementów, w umowie powierzenia warto zawrzeć dodatkowe postanowienia, które wzmocnią bezpieczeństwo danych i regulują relacje między administratorem a procesorem. Przykłady takich postanowień to:
Prawo do podpowierzenia danych osobowych
Administrator może w umowie zastrzec brak zgody na podpowierzenie danych osobowych innym podmiotom przez procesora. Może również zezwalac na podpowierzenie, ale tylko konkretnie wskazanym podmiotom i na określonych warunkach. Regulacja kwestii podpowierzenia jest istotna, aby administrator miał kontrolę nad tym, kto faktycznie przetwarza dane osobowe.
Prawo do audytu
Administrator, jako podmiot odpowiedzialny za bezpieczeństwo danych, powinien zastrzec w umowie prawo do audytu procesora. Audyt pozwala na weryfikację, czy procesor przestrzega warunków umowy i przepisów o ochronie danych osobowych, w szczególności czy wdrożył odpowiednie środki bezpieczeństwa. Prawo do audytu jest ważnym narzędziem kontroli dla administratora.
Prawo do upoważnienia
Administrator, pozostając „właścicielem” danych, może upoważnić przedstawiciela procesora do nadawania dalszych upoważnień do przetwarzania danych osobowych w jego imieniu. Takie upoważnienie deleguje pewne kompetencje administratora na procesora w zakresie zarządzania dostępem do danych.
Informowanie o kontrolach
Warto zobowiązać procesora do informowania administratora o wszelkich kontrolach przeprowadzanych przez organy nadzorcze (PUODO, PIP) w zakresie ochrony danych osobowych. Informacja o kontroli u procesora może być istotna dla administratora, ponieważ konsekwencje ewentualnych nieprawidłowości mogą dotyczyć również jego działalności.
Zobowiązanie do usunięcia danych
Umowa powinna zawierać postanowienia dotyczące obowiązku usunięcia lub zwrotu danych osobowych po zakończeniu świadczenia usług przez procesora. Jasne określenie zasad postępowania z danymi po zakończeniu współpracy jest kluczowe dla zapewnienia bezpieczeństwa i zgodności z zasadą minimalizacji danych.
Czy umowa powierzenia może być częścią innej umowy?
Tak, umowa powierzenia przetwarzania danych osobowych może być integralną częścią innej umowy, np. umowy współpracy, umowy o świadczenie usług IT, księgowych czy marketingowych. Ważne jest, aby w takiej umowie głównej znalazły się wszystkie niezbędne elementy umowy powierzenia, precyzyjnie regulujące kwestie przetwarzania danych osobowych.
Umowa powierzenia a usługi pocztowe
W kontekście usług pocztowych, istotne jest rozróżnienie. W przypadku usług powszechnych, realizowanych przez operatora pocztowego na mocy ustawy (np. dostarczanie listów), zawieranie odrębnej umowy powierzenia nie jest konieczne. Przekazanie danych osobowych (adresu, imienia i nazwiska) jest niezbędne do realizacji usługi pocztowej i wynika z ustawowych obowiązków operatora. Jednak, w przypadku usług dodatkowych, wykraczających poza usługi powszechne i realizowanych na podstawie umowy (np. wypłata świadczeń pieniężnych), umowa powierzenia jest już wymagana, ponieważ przetwarzanie danych odbywa się na zlecenie administratora danych.
Czy umowa powierzenia musi być pisemna?
Zarówno obecne przepisy, jak i RODO, wymagają, aby umowa powierzenia przetwarzania danych osobowych była zawarta w formie pisemnej. Obecnie, forma pisemna obejmuje również formę elektroniczną z bezpiecznym podpisem elektronicznym. RODO rozszerza tę definicję, dopuszczając formę elektroniczną, która może obejmować oświadczenia składane za pośrednictwem poczty e-mail, akceptację warunków na stronie internetowej czy zapis na nośniku elektronicznym. Niedochowanie formy pisemnej umowy powierzenia nie powoduje jej nieważności w świetle prawa cywilnego, jednak stanowi naruszenie przepisów o ochronie danych osobowych i może skutkować sankcjami administracyjnymi, w tym wysokimi karami finansowymi na podstawie RODO.
Elementy umowy powierzenia według RODO
RODO znacząco rozszerza katalog elementów, które powinna zawierać umowa powierzenia przetwarzania danych osobowych. Oprócz zakresu i celu przetwarzania, umowa powinna określać:
- Przedmiot przetwarzania
- Czas trwania przetwarzania
- Charakter przetwarzania (np. rodzaj operacji przetwarzania)
- Rodzaj danych osobowych (np. dane zwykłe, dane szczególnych kategorii)
- Kategorie osób, których dane dotyczą (np. pracownicy, klienci)
- Obowiązki i prawa administratora
- Obowiązki procesora (szczegółowo wymienione w art. 28 ust. 3 RODO, m.in. przetwarzanie wyłącznie na polecenie administratora, zapewnienie poufności, wdrożenie środków bezpieczeństwa, pomoc administratorowi w realizacji praw osób, których dane dotyczą, usunięcie danych po zakończeniu usługi)
RODO kładzie większy nacisk na szczegółowe uregulowanie procesu powierzenia i obowiązków procesora, co ma na celu zwiększenie ochrony powierzanych danych.
Umowa powierzenia a podpowierzenie według RODO
RODO wprowadza wymóg uzyskania pisemnej zgody administratora na podpowierzenie danych osobowych przez procesora innemu podmiotowi. Zgoda może być szczegółowa (na konkretny podmiot) lub ogólna (z możliwością wniesienia sprzeciwu przez administratora wobec zmian podprocesorów). Zgoda administratora na podpowierzenie musi być wyrażona w formie pisemnej, choć niektórzy eksperci dopuszczają również formę elektroniczną. W praktyce, zaleca się uzyskanie pisemnej zgody, aby uniknąć wątpliwości interpretacyjnych i zapewnić zgodność z RODO.
Tabela porównawcza: Umowa powierzenia – Ustawa o ochronie danych osobowych vs. RODO
| Kryterium | Ustawa o ochronie danych osobowych | RODO |
|---|---|---|
| Podstawa prawna | Art. 31 | Art. 28 |
| Forma umowy | Pisemna | Pisemna, w tym forma elektroniczna |
| Elementy umowy |
|
|
| Podpowierzenie | Brak szczegółowych regulacji | Wymagana pisemna zgoda administratora danych (szczegółowa lub ogólna) |
Podsumowanie
Umowa powierzenia przetwarzania danych osobowych jest kluczowym elementem systemu ochrony danych osobowych. Zarówno na gruncie dotychczasowej ustawy, jak i RODO, jej zawarcie jest obowiązkiem administratora danych. RODO wprowadza bardziej szczegółowe wymogi dotyczące treści umowy, kładąc nacisk na precyzyjne określenie obowiązków procesora i warunków podpowierzenia. Warto już teraz dostosować wzory umów powierzenia do wymogów RODO, aby zapewnić pełną zgodność z przepisami i bezpieczeństwo powierzanych danych osobowych.
Jeśli chcesz poznać inne artykuły podobne do Umowa powierzenia przetwarzania danych osobowych, możesz odwiedzić kategorię Rachunkowość.