Czym jest i kiedy zawiera się umowę powierzenia przetwarzania danych osobowych?

09 maja 2018 r.

Podmioty przetwarzające dane osobowe to wszystkie podmioty, które te dane zbierają, utrwalają, porządkują, przechowują, modyfikują, pobierają, przeglądają, wykorzystują, przesyłają, rozpowszechniają lub przeprowadzają na nich inne operacje. Są to więc nie tylko administratorzy danych (podmioty ustalające cele i sposoby przetwarzania), ale także podmioty, którym administratorzy danych zlecili wykonanie niektórych z czynności przetwarzania, bądź wszystkie te czynności (tak zwane „podmioty przetwarzające”). W praktyce można wskazać, iż przedsiębiorca, który najczęściej sam gromadzi dane osobowe klientów, kontrahentów czy też pracowników, przekazując te dane przykładowo księgowemu, informatykowi czy agencji prowadzącej konkurs na jego zlecenie, powierza przetwarzanie danych tymże podmiotom. Warto pamiętać, iż zamieszczanie danych na serwerach należących do innych podmiotów (np. w tak zwanych „chmurach” czy na odrębnych serwerach) również stanowi powierzenie przetwarzania danych osobowych. W takich wypadkach konieczne jest zastosowanie odpowiednich rozwiązań prawnych, celem zapewnienia bezpieczeństwa tychże danych osobowych, w tym przede wszystkim zawarcia odpowiedniej umowy.

Zgodnie z postanowieniami ogólnego rozporządzenia o ochronie danych osobowych (RODO), jeśli przetwarzanie ma być dokonywane w imieniu administratora może on w drodze umowy powierzyć przetwarzanie tych danych podmiotom, którzy zapewniają gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia. Odpowiedzialność za powierzenie przetwarzania danych przez odpowiedni podmiot leży na administratorze. Z tego względu umowy powierzenia przetwarzania danych osobowych muszą być skonstruowane w odpowiedni sposób zapewniający administratorowi kontrolę nad realizacją nałożonych na niego obowiązków.

 

Umowa o powierzeniu przetwarzania danych osobowych winna zostać zawarta na piśmie, w tym może być zawarta w formie elektronicznej. Umowa winna określać przede wszystkim:

  1. przedmiot i czas trwania przetwarzania,

  2. charakter i cel przetwarzania,

  3. rodzaj danych osobowych oraz kategorie osób, których dane dotyczą,

  4. obowiązki i prawa administratora.

Obowiązki podmiotu przetwarzającego zostały wprost ustalone w RODO i winny znaleźć odzwierciedlenie w umowie zawieranej z podmiotem przetwarzającym. Zgodnie z art. 28 ust. 3 RODO w umowie należy zapewnić, iż podmiot przetwarzający:

a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający;

b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

c) podejmuje odpowiednie środki zabezpieczające dane (zgodnie z art. 32 RODO);

d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, według przepisów o podmiocie przetwarzającym;

e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO (prawa osób, których dane dotyczą);

f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO (bezpieczeństwo danych osobowych, zgłaszanie naruszeń ochrony danych, ocena skutków dla ochrony);

g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;

h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich;

i) niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.

Warto na koniec wskazać, iż brak podpisania umowy z podmiotem przetwarzającym stanowi podstawę do nałożenia na administratora kary pieniężnej. Ważne jest więc zadbanie o posiadanie odpowiednich umów z podmiotami, którym powierzamy w jakikolwiek sposób dane osobowe.

 

Krystyna Cent

radca prawny

Pozostałe aktualności