Umowa powierzenia przetwarzania danych

Praktycznie każdy z nas korzysta z rozwiązań czy usług innych podmiotów. Usługi te są zarówno płatne, jak i nieodpłatne. Zakres wykorzystywanych aplikacji, zarówno w życiu prywatnym, jak i publicznym, jest bardzo szeroki. Większość firm posiada strony internetowe, korzysta z usług hostingu, utrzymaniu infrastruktury. Oprócz tego, wiele podmiotów korzysta z usług biur rachunkowych, usług doradczych czy marketingowych. Większość z nas chętnie też sięga po darmowe rozwiązania np. firmy Google. Bardzo często w trakcie współpracy z takimi podmiotami czy korzystania z ich narzędzi dochodzi do przekazania danych osobowych osób trzecich (np. naszych pracowników, klientów czy subskrybentów newslettera), albowiem dane osobowe są nierozerwalnie związane z naszą codziennością.  

W sytuacji korzystania z usług podmiotów trzecich, w trakcie których dochodzi do przetwarzania danych osobowych administrator, który chce skorzystać z usług takiego podwykonawcy powinien wraz podpisaniem umowy głównej, podpisać umowę powierzenia przetwarzania danych osobowych. Oczywiście postanowienia odnoszące się do ochrony danych mogą zostać ujęte w samej umowie głównej. Co więcej, należy pamiętać, że regulamin to także umowa. Odnoszę wrażenie, że wiele osób korzystających, w szczególności z bezpłatnych rozwiązań akceptuje regulaminy podmiotów, z których usług/aplikacji/narzędzi chce skorzystać. Czy jednak czyta regulaminy albo warunki świadczenia usług? Myślę, że znajdą się tacy, którzy niestety nie czytają. Dlaczego jest to takie ważne? Jeżeli Ty jako administrator danych osobowych korzystasz z usług podmiotów trzecich, to musisz spełnić obowiązki informacyjne wobec osoby, których dane osobowe przetwarzasz. Inaczej rzecz ujmując, poinformować osobę, że oprócz Ciebie, ktoś jeszcze będzie miał styczność z jej danymi osobowymi (zob. art. 13 RODO). Oprócz tego jako administrator danych osobowych przed skorzystaniem z określonych usług, powinieneś dokonać odpowiedniego wyboru swojego podwykonawcy. Kontrahent powinien spełniać wymagania ustalone przepisami RODO. Ciężar odpowiedzialności za dokonanie odpowiedniego wyboru podmiotu przetwarzającego spoczywa na administratorze (art. 28 ust. 1 RODO). Zdarza się także, zwłaszcza gdy korzystamy z usług „giganta”, że usługodawca uzależnia możliwość skorzystania z bezpłatnego rozwiązania pod warunkiem umieszczenia odpowiednich postanowień w swojej klauzuli informacyjnej. Co więcej, uznaje się, że nawet brak równości stron w relacji pomiędzy małym administratorem a dużym usługodawcą, który będzie pełnił rolę podmiotu przetwarzającego, nie będzie uznawane za wystarczający powód (usprawiedliwienie) za wybór kontrahenta, który nie spełnia wymagań RODO.

Co ważne administrator decydując się na skorzystanie z podmiotu zewnętrznego nadal decyduje o celu i sposobie przetwarzania danych osobowych, zaś wybrany przez niego podmiot przetwarzający jest uprawniony wyłącznie do dokonania powierzonych czynności, z którymi wiąże się także przetwarzanie danych osobowych w sposób i celu określonym przez administratora.

(fragment motywu nr 81 RODO)

Administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności, jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom RODO, w tym wymogom bezpieczeństwa przetwarzania

RODO dopuszcza dwie alternatywne podstawy powierzenia przetwarzania danych osobowych. Jedną z nich jest umowa. Stronami umowy są administrator i podmiot przetwarzający (podmiot działający na zlecenie administratora). W praktyce umowa ta nazywana jest umową powierzenia danych osobowych czy też umową o powierzeniu przetwarzania danych osobowych. Są to najczęściej stosowane nazwy tej umowy, choć można się spotkać z terminami jak: umowa o powierzeniu danych, umowa z procesorem, umowa powierzenia, regulamin ochrony danych itp. Bez znaczenia jest nazwa umowy, najważniejsze, by umowa posiadała elementy wynikające z RODO. 

Do elementów, które zalicza się:

  1. przedmiot przetwarzania;
  2.  czas trwania przetwarzania;
  3.  charakter i cel przetwarzania,
  4.  rodzaj danych osobowych,
  5. kategorie osób, których dane dotyczą
  6. obowiązki i prawa administratora
  7. zobowiązania podmiotu przetwarzającego.  

Oczywiście, to w interesie administratora leży uwzględnienie w umowie  pkt 7, czyli obowiązków podmiotu przetwarzającego, do których należy zaliczyć:

  • działanie wyłącznie na udokumentowanie polecenie administratora;
  • zagwarantowanie, że osoby upoważnione do przetwarzania zobowiążą się do zachowania tajemnicy, chyba że podlegają one takiemu obowiązkowi z mocy przepisów ustawowych;
  • wdrożenie odpowiednich środków technicznych i organizacyjnych;
  • przestrzeganie warunków korzystania z usług innego podmiotu przetwarzającego;
  •  wsparcie administratora w realizacji praw podmiotów danych (osób, których dane osobowe są przetwarzane)
  • wsparcie administratora w realizacji obowiązków odnoszących się do bezpieczeństwa przetwarzania, zgłaszania naruszeń ochrony danych organowi nadzorczemu, zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, oceny skutków dla ochrony danych oraz uprzednich konsultacji;
  • umożliwienie poddania się kontroli (audytów) prowadzonej przez administratora w celu wykazania spełnienia nałożonych na podmiot przetwarzający w umowie obowiązków oraz współdziałania w czasie jej trwania;
  • określone postępowanie z danymi osobowymi po zakończeniu przetwarzania.

Powyższe elementy stanowią minimum jakie musi spełniać przedmiotowa umowa, co jednak nie wyklucza uregulowania innych kwestii odnoszących się do procesu przetwarzania danych osobowych w relacji administrator – podmiot przetwarzający, np. ustalenie rozkładu odpowiedzialności za niewykonanie lub nienależyte wykonanie umowy, szczegółowe określenie sposobu kontroli, możliwości rozwiązania stosunku prawnego itp.

Należy również pamiętać, że administrator nie może nakładać na podmiot przetwarzający niezgodnych z przepisami prawa obowiązków czy poleceń. W przypadku, gdy w ocenie podmiotu przetwarzającego wydane przez administratora polecenie stanowi naruszenie RODO lub innych przepisów Unii lub państwa członkowskiego o ochronie danych, podmiot przetwarzający jest zobowiązany niezwłocznie poinformować o tym administratora (art. 28 ust. 3 lit. 4 RODO).

Umowa powierzenia przetwarzania danych osobowych musi mieć formę pisemną, przy czym zgodnie z art. 28 ust. 9 RODO, wymóg pisemności spełnia również forma elektroniczna w rozumieniu RODO. Dzięki możliwości skorzystania z takiej formy, istnieje możliwość zawarcia skutecznej umowy powierzenia przetwarzania danych osobowych w drodze akceptacji regulaminu, czy samodzielnego jej wygenerowania na platformie podmiotu przetwarzającego i tak najczęściej się dzieje. 

Źródła:

  1. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE z 2016 r., L 119/1 ze zm.).
  2. Grupa Robocza Art. 29, Opinia 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający”, przyjęta 16 lutego 2010 r. (WP 169), https://archiwum.giodo.gov.pl/pl/1520057/3595, 16.05.2020 r.
  3. N. Stojanowska, Outsourcing usług w kancelarii komorniczej a RODO, https://old.currenda.pl/2019/04/outsourcing-uslug-w-kancelarii-komorniczej-w-rodo/, 16.05.2020 r.