Umowa powierzenia przetwarzania danych to bardzo popularna umowa od czasu wejścia w życie RODO. Nierzadko zawierana niesłusznie lub o nieprawidłowej treści. Kiedy administrator powinien zawrzeć umowę powierzenia, a kiedy nie? Na co zwrócić uwagę oprócz treści samej umowy?


KIEDY MUSIMY ZAWRZEĆ UMOWĘ POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH?

Po pierwsze, zadajmy sobie pytanie czym właściwie jest powierzenie przetwarzania danych osobowych? Otóż, powierzenie przetwarzania danych występuje wtedy, kiedy administrator faktycznie daje dane osobowe do przetwarzania podmiotowi trzeciemu. Z pewnością powierzenie jest wtedy, kiedy korzystamy z różnego rodzaju outsourcingu.

Dobrym przykładem będzie księgowość. Administrator może samodzielnie wykonywać czynności związane z obsługą księgowo – kadrową (rozliczenia, zgłaszanie pracowników do ZUS). Ale może też zlecić prowadzenie obsługi księgowo – kadrowej do zewnętrznego biura księgowego.

Inne przykłady to: korzystanie z dostawców usług chmurowych, obsługi informatycznej, newsletter, usługa archiwizacji dokumentacji, niszczenia dokumentów.

We wszystkich powyższych sytuacjach powinniśmy zawrzeć umowę powierzenia przetwarzania danych osobowych.


CZY POWIERZENIE PRZETWARZANIA DANYCH ZAWSZE WIĄŻE SIĘ Z PRZEKAZANIEM/ UDOSTĘPNIENIEM DANYCH

W przeciwieństwie do tego co opisałam powyżej, może być też tak, że administrator wcale nie przekazuje danych do podmiotu przetwarzającego – nie wysyła ich, nie udostępnia w żaden sposób. A jednak dochodzi do powierzenia przetwarzania.

Jakie to są sytuacje?

Do takiego powierzenia dochodzi, gdy administrator zleca zewnętrznemu podmiotowi, aby zbierał dane w jego imieniu i stworzył pewną bazę danych. Z pewnością, kiedy korzystamy z usług dostawcy newslettera, dostawca ten będzie podmiotem przetwarzającym. A przekazujemy mu jakieś dane? Nie. To użytkownicy zapisując się na newsletter przekazują podmiotowi przetwarzającemu swoje dane osobowe, a on zapisuje je na swoich serwerach. Natomiast my, jako administrator mamy do nich dostęp za pośrednictwem konkretnej platformy po zalogowaniu się do swojego konta. Podobnie będzie z dostawcą na przykład formularza kontaktowego.


Nie wiesz czy zawrzeć umowę powierzenia czy nadać upoważnienie? Przeczytaj artykuł: Powierzenie danych osobowych czy upoważnienie?


UMOWA POWIERZENIA PRZETWARZANIA DANYCH – CO POWINNA ZAWIERAĆ?

Umowa powierzenia przetwarzania danych powinna określać następujące kwestie:

  • przedmiot, charakter i cel przetwarzania,
  • czas trwania przetwarzania,
  • kategorie osób, których dane są przetwarzane (np. klienci, pracownicy),
  • kategorie danych, które są przetwarzane (np. imię, nazwisko, adres e-mail, numer telefonu),
  • obowiązki i prawa administratora,
  • zasady dalszego powierzenia (podpowierzenia) danych osobowych przez podmiot przetwarzający (czyli np. księgowa [podmiot przetwarzający] przechowuje dane w jakimś rozwiązaniu chmurowym [podmiot podprzetwarzający]),
  • wskazanie, że podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora,
  • zapewnienie przez podmiot przetwarzający, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy,
  • zobowiązanie podmiotu przetwarzającego, że wdrożył odpowiednie środki ochrony danych,
  • zobowiązanie podmiotu przetwarzającego, że będzie pomagał administratorowi wywiązać się z jego obowiązków,
  • kwestie dotyczące usunięcia danych,
  • uregulowanie dotyczące audytów.

Aktualnie obowiązują standardowe klauzule umowne wydane przez Komisję Europejską. Standardowe klauzule umowne to taki wzór umowy powierzenia. Warto je stosować, ponieważ mamy pewność że są one zgodne z RODO. Uwaga – są to inne klauzule niż te przy transferze danych poza EOG. Te klauzule dotyczą powierzenia przetwarzania w EOG.


UMOWA POWIERZENIA PRZETWARZANIA DANYCH, A WERYFIKACJA PODMIOTU PRZETWARZAJĄCEGO

Okazuje się, że sama umowa to za mało. Bez wątpienia, przetwarzanie danych osobowych przez procesora powinno spełniać wymogi RODO. Dlatego podmiot przetwarzający powinien wdrożyć odpowiednie środki techniczne i organizacyjne. Natomiast administrator przed wyborem podmiotu przetwarzającego i zawarciem z nim umowy powinien to zweryfikować.

Jak to zrobić? Raczej nikt w praktyce nie wyobraża sobie sytuacji, że w związku z zawarciem umowy z księgową albo dostawcą rozwiązania informatycznego administrator wybierze się do tego podmiotu i w jego siedzibie będzie badał spełnienie wymogów. RODO nie wskazuje konkretnych rozwiązań. Dlatego też, administrator może mieć na przykład listę pytań (ankietę), które zdalnie zada podmiotowi przetwarzającemu. Pytania powinny odnosić się do wdrożonych środków zarówno technicznych jak i informatycznych. Takie rozwiązanie wydaje się wystarczające.

Oczywiście pytania mogą być inne dla różnych procesorów (każde powierzenie przetwarzania jest odmienne). Należy sprawdzić czy podmiot przetwarzający ma odpowiednie procedury, zasoby, przeszkolony personel, zabezpieczenia itp. Środkami organizacyjnymi są wszelkie procedury z zakresu ochrony danych. Środki techniczne to odpowiednie zabezpieczenia np. miejsc, gdzie dane są przechowywane. Można wyróżnić jeszcze podkategorię środków informatycznych (zabezpieczenia informatyczne systemów, programów, wszelkich zasobów informatycznych).

Taką listę najlepiej przygotować jako załącznik do umowy powierzenia przetwarzania danych osobowych, aby potem móc ewentualnie wykazać, że administrator zweryfikował podmiot przetwarzający. Administrator powinien sprawdzić podmiot przetwarzający w taki sposób, aby wiedzieć czy przetwarzanie danych przez podmiot przetwarzający nie będzie skutkowało naruszeniami, w tym umowy i RODO.

Ponadto, administrator powinien weryfikować taki podmiot przetwarzający również w trakcie trwania umowy. Z uwagi na to, że ochrona danych osobowych jest dziedziną dość dynamiczną na przykład ze względu na projektowanie nowych procesów lub rozwój technologii, jednorazowa weryfikacja procesora może okazać się niewystarczająca.


POWIERZENIE A UDOSTĘPNIENIE

Powierzenie występuje wówczas, gdy podmiot przetwarzający przetwarza dane osobowe w imieniu administratora. Podmiot, któremu dane się udostępnia, ma swoje własne cele związane z przetwarzaniem danych.

Aby udostępnić dane osobowe, administrator powinien mieć odpowiednią podstawę udostępnienia (np. przepis prawa, wykonanie umowy, prawnie uzasadniony interes). Natomiast administrator, który otrzymuje dane musi mieć podstawę przetwarzania oraz powinien wykonać obowiązek informacyjny wobec osób, których dane otrzymał.

PRZYKŁAD

Warto zwrócić uwagę, na ważny przykład. Częstszym błędem jest powierzanie danych pracowników wskazanych w umowie do realizacji umowy lub osób reprezentujących stronę umowy. Tych danych się nie powierza. Te dane (zazwyczaj imię, nazwisko, stanowisko, dane kontaktowe w postaci numeru telefonu i adresu e-mail) tylko udostępnia się na potrzeby realizacji umowy. Każdy administrator (każda ze stron) ma własny odrębny cel takiego przetwarzania. Administratorzy wymieniają się wzajemnie danymi swoich pracowników. Jedna strona jest administratorem danych swoich pracowników i ma interes w tym, aby udostępnić ich dane w swojej bieżącej działalności (w celu prowadzenia tej działalności, zawarcia umowy). I ta sama strona otrzyma dane pracowników drugiej strony, ale nie będzie tych danych przetwarzała w imieniu tej drugiej strony, tylko w swoim własnym – w celu realizacji tej umowy i kontaktu z drugą stroną.

Tak w: stanowisku Prezesa UODO w odniesieniu do członków zarządu i pracowników.

W praktyce w umowie wskazuje się, że strony przekazują sobie wzajemnie klauzule informacyjne RODO dla pracowników zaangażowanych w realizację umowy, osób reprezentujących stronę i zobowiązują się do ich dostarczenia tym osobom.

 

Leave a Comment

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *