Umowa powierzenia przetwarzania danych osobowych - Wsparcie Prawne Biznesów Online

Umowa powierzenia przetwarzania danych

Ochrona danych osobowych

Praktycznie każdy z nas korzysta z rozwiązań czy usług innych podmiotów. Usługi te są zarówno płatne, jak i nieodpłatne. Zakres wykorzystywanych aplikacji, zarówno w życiu prywatnym, jak i publicznym, jest bardzo szeroki. Większość firm posiada strony internetowe, korzysta z usług hostingu, utrzymaniu infrastruktury.

Oprócz tego, wiele podmiotów korzysta z usług biur rachunkowych, usług doradczych czy marketingowych. Większość z nas chętnie też sięga po darmowe rozwiązania np. firmy Google. Bardzo często w trakcie współpracy z takimi podmiotami czy korzystania z ich narzędzi dochodzi do przekazania danych osobowych osób trzecich (np. naszych pracowników, klientów czy subskrybentów newslettera), albowiem dane osobowe są nierozerwalnie związane z naszą codziennością.

Kiedy zawrzeć umowę powierzenia przetwarzania danych osobowych?

W sytuacji korzystania z usług podmiotów trzecich, w trakcie których dochodzi do przetwarzania danych osobowych administrator, który chce skorzystać z usług takiego podwykonawcy powinien wraz podpisaniem umowy głównej, podpisać umowę powierzenia przetwarzania danych osobowych. Oczywiście postanowienia odnoszące się do ochrony danych mogą zostać ujęte w samej umowie głównej.

Co więcej, należy pamiętać, że regulamin to także umowa. Odnoszę wrażenie, że wiele osób korzystających, w szczególności z bezpłatnych rozwiązań akceptuje regulaminy podmiotów, z których usług/aplikacji/narzędzi chce skorzystać. Czy jednak czyta regulaminy albo warunki świadczenia usług? Myślę, że znajdą się tacy, którzy niestety nie czytają.

Dlaczego jest to takie ważne?

Jeżeli Ty jako administrator danych osobowych korzystasz z usług podmiotów trzecich, to musisz spełnić obowiązki informacyjne wobec osoby, których dane osobowe przetwarzasz. Inaczej rzecz ujmując, poinformować osobę, że oprócz Ciebie, ktoś jeszcze będzie miał styczność z jej danymi osobowymi (zob. art. 13 RODO).

Oprócz tego, jako administrator danych osobowych przed skorzystaniem z określonych usług, powinieneś dokonać odpowiedniego wyboru swojego podwykonawcy. Kontrahent powinien spełniać wymagania ustalone przepisami RODO. Ciężar odpowiedzialności za dokonanie odpowiedniego wyboru podmiotu przetwarzającego spoczywa na administratorze (art. 28 ust. 1 RODO).

Wybór dostawcy usług

Zdarza się także, zwłaszcza gdy korzystamy z usług „giganta”, że usługodawca uzależnia możliwość skorzystania z bezpłatnego rozwiązania pod warunkiem umieszczenia odpowiednich postanowień w swojej klauzuli informacyjnej.

Co więcej, uznaje się, że nawet brak równości stron w relacji pomiędzy małym administratorem a dużym usługodawcą, który będzie pełnił rolę podmiotu przetwarzającego, nie będzie uznawane za wystarczający powód (usprawiedliwienie) za wybór kontrahenta, który nie spełnia wymagań RODO.

Co ważne administrator decydując się na skorzystanie z podmiotu zewnętrznego nadal decyduje o celu i sposobie przetwarzania danych osobowych, zaś wybrany przez niego podmiot przetwarzający jest uprawniony wyłącznie do dokonania powierzonych czynności, z którymi wiąże się także przetwarzanie danych osobowych w sposób i celu określonym przez administratora.

(fragment motywu nr 81 RODO)

Administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności, jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom RODO, w tym wymogom bezpieczeństwa przetwarzania.

Podstawy powierzenia danych osobowych

RODO dopuszcza dwie alternatywne podstawy powierzenia przetwarzania danych osobowych. Jedną z nich jest umowa. Stronami umowy są administrator i podmiot przetwarzający (podmiot działający na zlecenie administratora). W praktyce umowa ta nazywana jest umową powierzenia danych osobowych czy też umową o powierzeniu przetwarzania danych osobowych. Są to najczęściej stosowane nazwy tej umowy, choć można się spotkać z terminami jak: umowa o powierzeniu danych, umowa z procesorem, umowa powierzenia, regulamin ochrony danych itp. Bez znaczenia jest nazwa umowy, najważniejsze, by umowa posiadała elementy wynikające z RODO.

Elementy umowy powierzenia przetwarzania danych

Do elementów, które zalicza się:

przedmiot przetwarzania;
czas trwania przetwarzania;
charakter i cel przetwarzania,
rodzaj danych osobowych,
kategorie osób, których dane dotyczą
obowiązki i prawa administratora
zobowiązania podmiotu przetwarzającego.

Oczywiście, to w interesie administratora leży uwzględnienie w umowie pkt 7, czyli obowiązków podmiotu przetwarzającego, do których należy zaliczyć:

działanie wyłącznie na udokumentowanie polecenie administratora;
zagwarantowanie, że osoby upoważnione do przetwarzania zobowiążą się do zachowania tajemnicy, chyba że podlegają one takiemu obowiązkowi z mocy przepisów ustawowych;
wdrożenie odpowiednich środków technicznych i organizacyjnych;
przestrzeganie warunków korzystania z usług innego podmiotu przetwarzającego;
wsparcie administratora w realizacji praw podmiotów danych (osób, których dane osobowe są przetwarzane)
wsparcie administratora w realizacji obowiązków odnoszących się do bezpieczeństwa przetwarzania, zgłaszania naruszeń ochrony danych organowi nadzorczemu, zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, oceny skutków dla ochrony danych oraz uprzednich konsultacji;
umożliwienie poddania się kontroli (audytów) prowadzonej przez administratora w celu wykazania spełnienia nałożonych na podmiot przetwarzający w umowie obowiązków oraz współdziałania w czasie jej trwania;
określone postępowanie z danymi osobowymi po zakończeniu przetwarzania.

Upoważnienie do przetwarzania danych osobowych

24 stycznia 2020 Brak komentarzy

Czy i kiedy należy udzielić upoważnienia do przetwarzania danych osobowych

Czytaj więcej »

Oczywiście, to w interesie administratora leży uwzględnienie w umowie pkt 7, czyli obowiązków podmiotu przetwarzającego, do których należy zaliczyć:

działanie wyłącznie na udokumentowanie polecenie administratora;
zagwarantowanie, że osoby upoważnione do przetwarzania zobowiążą się do zachowania tajemnicy, chyba że podlegają one takiemu obowiązkowi z mocy przepisów ustawowych;
wdrożenie odpowiednich środków technicznych i organizacyjnych;
przestrzeganie warunków korzystania z usług innego podmiotu przetwarzającego;
wsparcie administratora w realizacji praw podmiotów danych (osób, których dane osobowe są przetwarzane)
wsparcie administratora w realizacji obowiązków odnoszących się do bezpieczeństwa przetwarzania, zgłaszania naruszeń ochrony danych organowi nadzorczemu, zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, oceny skutków dla ochrony danych oraz uprzednich konsultacji;
umożliwienie poddania się kontroli (audytów) prowadzonej przez administratora w celu wykazania spełnienia nałożonych na podmiot przetwarzający w umowie obowiązków oraz współdziałania w czasie jej trwania;
określone postępowanie z danymi osobowymi po zakończeniu przetwarzania.

Powyższe elementy stanowią minimum jakie musi spełniać przedmiotowa umowa, co jednak nie wyklucza uregulowania innych kwestii odnoszących się do procesu przetwarzania danych osobowych w relacji administrator – podmiot przetwarzający, np. ustalenie rozkładu odpowiedzialności za niewykonanie lub nienależyte wykonanie umowy, szczegółowe określenie sposobu kontroli, możliwości rozwiązania stosunku prawnego itp.

Należy również pamiętać, że administrator nie może nakładać na podmiot przetwarzający niezgodnych z przepisami prawa obowiązków czy poleceń. W przypadku, gdy w ocenie podmiotu przetwarzającego wydane przez administratora polecenie stanowi naruszenie RODO lub innych przepisów Unii lub państwa członkowskiego o ochronie danych, podmiot przetwarzający jest zobowiązany niezwłocznie poinformować o tym administratora (art. 28 ust. 3 lit. 4 RODO).

Umowa powierzenia przetwarzania danych osobowych musi mieć formę pisemną, przy czym zgodnie z art. 28 ust. 9 RODO, wymóg pisemności spełnia również forma elektroniczna w rozumieniu RODO. Dzięki możliwości skorzystania z takiej formy, istnieje możliwość zawarcia skutecznej umowy powierzenia przetwarzania danych osobowych w drodze akceptacji regulaminu, czy samodzielnego jej wygenerowania na platformie podmiotu przetwarzającego i tak najczęściej się dzieje.

Źródła:

Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE z 2016 r., L 119/1 ze zm.).
Grupa Robocza Art. 29, Opinia 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający”, przyjęta 16 lutego 2010 r. (WP 169), https://archiwum.giodo.gov.pl/pl/1520057/3595, 16.05.2020 r.
N. Stojanowska, Outsourcing usług w kancelarii komorniczej a RODO, https://old.currenda.pl/2019/04/outsourcing-uslug-w-kancelarii-komorniczej-w-rodo/, 16.05.2020 r.

Przedsiębiorco!

Chcesz być na bieżąco z przepisami?

Ustawienia plików cookie

Poniżej możesz zmienić ustawienia plików cookie. Aby to zrobić przesuń suwak przy wybranej kategorii plików cookie. Masz prawo do wglądu w swoje ustawienia oraz do ich zmiany w dowolnym czasie. Więcej informacji o poszczególnych kategoriach plików cookie, które wykorzystuje strona internetowa znajdziesz w Polityce prywatności.

Niezbędne

Zawsze włączone

Niezbędne pliki cookie (oraz inne podobne technologie) są potrzebne dla zapewnienia właściwego funkcjonowania witryny oraz zapewnienia odpowiedniego poziomu bezpieczeństwa, w związku z czym nie mogą one zostać wyłączone.

Cookie	Czas przechowywania	Opis
cookielawinfo-checkbox-analytics	1 rok	Ten plik cookie, ustawiony przez wtyczkę GDPR Cookie Consent, służy do rejestrowania zgody użytkownika na pliki cookie w kategorii „Analityczne”.
cookielawinfo-checkbox-necessary	1 rok	Ten plik cookie, ustawiony przez wtyczkę GDPR Cookie Consent, służy do rejestrowania zgody użytkownika na pliki cookie w kategorii „Niezbędne”.
mailerlite:webform:shown		Plik cookie używany przez formularz zapisu na newsletter do określenia, czy formularz zapisu na newsletter został już wyświetlonwy użytkownikowi odwiedzającemu stronę.
viewed_cookie_policy	1 rok	Plik cookie jest ustawiany przez wtyczkę GDPR Cookie Consent w celu przechowywania informacji, czy użytkownik wyraził zgodę na korzystanie z plików cookie (żadne dane osobowe nie są zapisywane ani przechwowane).

Analityczne

Pliki cookie służące do dokonywania pomiarów i sprawdzania poprawności funkcjonowania strony. Umożliwiają weryfikację ilości osób, które odwiedzają stronę, a także pomagają nam ocenić, które strony i treści są odwiedzane najczęściej.

Cookie	Czas przechowywania	Opis
_ga	2 lata	Plik cookie _ga, instalowany przez Google Analytics, oblicza dane dotyczące odwiedzających, sesji i kampanii, a także śledzi wykorzystanie witryny na potrzeby raportu analitycznego witryny. Plik cookie przechowuje informacje anonimowo i przypisuje losowo wygenerowany numer w celu rozpoznania unikalnych użytkowników.
_ga_BKFR6CLJT3	2 lata	Plik cookie wykorzystywany przez usługę Google Analytics.
_gat_gtag_UA_199300153_1	1 minuta	Wykorzystywany przez usługę Google Analytics do rozróżniania użytkowników.
_gid	1 dzień	Instalowany przez Google Analytics plik cookie _gid przechowuje informacje o tym, w jaki sposób odwiedzający korzystają ze strony internetowej, jednocześnie tworząc raport analityczny dotyczący wydajności strony internetowej. Niektóre gromadzone dane obejmują liczbę odwiedzających, ich źródło i strony, które odwiedzają anonimowo.