Umowa powierzenia danych osobowych
Z tego artykułu dowiesz się: czym jest powierzenie przetwarzania danych osobowych; jakie elementy musi zawierać umowa powierzenia przetwarzania danych osobowych; jakie obowiązki spoczywają na administratorze i podmiocie przetwarzającym;
Powierzenie przetwarzania danych osobowych
Zyskujący na popularności outsourcing usług związanych z prowadzeniem działalności gospodarczej oraz obowiązujące od prawie pięciu lat rozporządzenie 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, oraz uchylenia dyrektywy 95/46/WE — dalej „RODO” rozpowszechniły pojęcie powierzenia przetwarzania danych osobowych.
Przed 2018 rokiem instytucja powierzenia przetwarzania danych osobowych uregulowana była art. 31 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, obecnie to właśnie RODO przyczynia się do popularyzacji powierzenia. Zgodnie z brzmieniem ust. 1 art. 28 rozporządzenia administrator może polecić przetwarzanie danych osobowych innym podmiotom, o ile te wdrożyły odpowiednie środki techniczne i organizacyjne służące ochronie danych oraz spełniają wymogi RODO. Podmioty te powinny w szczególności posiadać wiedzę fachową, być wiarygodne i dysponować adekwatnymi zasobami służącymi bezpieczeństwu przetwarzania (motyw 81 preambuły do RODO).
Podstawy prawne dla powierzenia przetwarzania danych wyznacza art. 28 ust. 3 RODO i są to:
- umowa – dotyczy przede wszystkim podmiotów sektora prywatnego;
- inny instrument prawny, który podlega prawu Unii lub prawu państwa członkowskiego i który wiąże podmiot przetwarzający i administratora – dotyczy podmiotów sektora publicznego (tj. organów i podmiotów publicznych).
Umowy powierzenia najczęściej zawierane są z podmiotami świadczącymi usługi księgowe i kadrowe, a także z przedsiębiorstwami realizującymi usługi IT, ochrony mienia i osób, obsługi w zakresie BHP, prowadzenia zewnętrznego archiwum, prowadzenia działań marketingowych na zlecenie klienta i inne.
Z jakimi podmiotami nie trzeba podpisywać umowy powierzenia przetwarzania danych osobowych
Umowy powierzenia nie trzeba podpisywać z podmiotami i instytucjami, które mogą otrzymywać dane osobowe od administratora danych na podstawie przepisów prawa (np. Urząd Skarbowy, ZUS, podmioty medyczne, Policja, Prokuratura, etc.), ponieważ w tym przypadku mamy do czynienia z udostępnieniem danych osobowych, a nie ich powierzeniem.
Więcej informacji na temat podmiotów, z którymi powinno się zawrzeć umowę powierzenia, znajdziesz w artykule Powierzenie a udostępnienie danych osobowych.
To o czym należy pamiętać w procesie podpisywania umowy powierzania danych osobowych i związanym z tym przekazywaniem danych to fakt, że przekazanie danych do powierzenia powinno nastąpić dopiero po zawarciu stosownej umowy. Jest to niezwykle ważne, ponieważ za brak podstawy prawnej do powierzenia danych administrator może otrzymać administracyjną karę finansową.
Podmioty przetwarzające
Podmioty, które będą realizować określone działania, stają się, w świetle prawa, podmiotami przetwarzającymi dane osobowe w imieniu i na zlecenie administratora danych.
- Należy pamiętać, że podmiot, któremu powierzane są dane do przetwarzania, nie staje się ich administratorem (chociaż tak samo, jak administrator ponosi odpowiedzialność), a jedynie wykonuje operacje na należących do administratora danych, w sposób i w celu ściśle przez niego określonym.
- Ważny jest również fakt, iż podmiot, któremu powierzono dane do przetwarzania, nie ma prawa ich wykorzystywać do własnych celów (w szczególności wykorzystywać do promocji własnych produktów i usług, dodawać ich do własnej bazy klientów/marketingowej oraz dalej udostępniać/sprzedawać).
- Powierzaniu może podlegać dowolna czynność przetwarzania — od gromadzenia, przez wgląd, edycję, przechowywanie, udostępnianie, usunięcie.
Kto może być podmiotem przetwarzającym dane na zlecenie administratora?
Ogólne rozporządzenie o ochronie danych jednoznacznie precyzuje, kto może być procesorem, tj. podmiotem przetwarzającym dane osobowe. Podmiotem przetwarzającym dane może być zatem:
- osoba fizyczna lub prawna,
- organ publiczny,
- jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Zakres umowy powierzenia przetwarzania danych osobowych
Najważniejszym ogniwem współpracy między administratorem a podmiotem przetwarzającym dane jest umowa powierzenia przetwarzania danych osobowych. Przepisy RODO wskazują wprost elementy, które umowa taka powinna zawierać.
Mowa tutaj o art. 28 rozporządzenia, określającym podstawowy katalog obowiązkowych zapisów umowy powierzenia. Niedostosowanie zapisów umowy do wymagań zawartych w rozporządzeniu może rodzić szereg negatywnych konsekwencji, między innymi w postaci wysokich administracyjnych kar finansowych — zarówno po stronie administratora, jak i podmiotu przetwarzającego.
Jak wskazuje motyw 81 preambuły do RODO, administrator i podmiot przetwarzający mogą postanowić skorzystać z umowy indywidualnej lub ze standardowych klauzul umownych, które zostały przyjęte bezpośrednio przez Komisję albo które zostały przyjęte przez organ nadzorczy zgodnie z mechanizmem spójności, a następnie przyjęte przez Komisję. Uprawnienie to zostało przewidziane przez unijnego prawodawcę w ust. 6 art. 28 RODO.
Niezależnie od formy umowy, na jaką zdecydują się strony podejmujące współpracę, zgodnie z RODO, zakres przedmiotowy umowy powierzenia powinien zawierać następujące elementy:
- określenie administratora danych,
- określenie podmiotu przetwarzającego dane na zlecenie administratora,
- przedmiot przetwarzania,
- czas trwania przetwarzania,
- charakter i cel przetwarzania,
- kategorię osób, których dane dotyczą (np. jeśli przetwarzaniu podlegają dane pracowników i kontrahentów to każda z tych grup stanowi odrębną kategorię osób),
- rodzaj powierzonych danych osobowych (tu należy wpisać konkretne kategorie danych osobowych, przy czym wskazać należy czy są to dane zwykłe, czy szczególne kategorie danych, czy też takie, które dotyczą wyroków skazujących i naruszeń prawa),
- obowiązki i prawa administratora,
- obowiązki podmiotu przetwarzającego.
Wymienione powyżej elementy to minimum, które powinna zawierać każda umowa. Nie jest jednak wykluczone, aby zawrzeć w niej jeszcze dodatkowe elementy, które będą stanowić dodatkowe zabezpieczenie. Przykładowo może to być wprowadzenie zasad przeprowadzania audytów lub określenie sposobów zakończenia współpracy w przyszłości.
Ważną kwestią, którą również należy zawrzeć w umowie powierzenia, jest zapis o tym, w jakim terminie podmiot przetwarzający jest zobowiązany do poinformowania administratora o wystąpieniu naruszenia bezpieczeństwa przetwarzanych danych osobowych. Jest to o tyle istotne, że administrator danych zobowiązany jest zgłosić takie naruszenie do organu nadzorczego (Urzędu Ochrony Danych Osobowych) w ciągu 72 godzin od momentu jego stwierdzenia.
Obowiązki stron umowy — administratora i podmiotu przetwarzającego
Zgodnie z RODO na administratorze danych spoczywa obowiązek sprawdzenia podmiotu, któremu mają zostać powierzone dane i dołożeniu szczególnej staranności przy jego wyborze.
Art. 28 ust. 1 rozporządzenia mówi o tym, że administrator powinien korzystać wyłącznie z usług podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą np. pracowników, klientów, kontrahentów. W praktyce weryfikacja podmiotu przetwarzającego może nastąpić poprzez uzyskanie odpowiedzi na kwestionariusz pytań, dotyczących kwestii stosowania odpowiednich środków technicznych i organizacyjnych zapewniających zgodność działań podmiotu przetwarzającego z przepisami RODO, przekazywany przez administratora.
Istotne jest, że podmiot przetwarzający musi zapewnić przynajmniej taki sam poziom ochrony jak administrator danych, dokonywać regularnego szacowania ryzyka oraz być w stanie zapewnić ciągłość działania.
W szczególności podmiot przetwarzający powinien:
- zapewnić zachowanie w tajemnicy przetwarzanych danych osobowych,
- zagwarantować odpowiednie bezpieczeństwo ich przetwarzania (środki zapewnienie bezpieczeństwa mogą obejmować np. pseudonimizację i szyfrowanie danych osobowych, zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania, przywracanie dostępności danych w razie incydentu fizycznego lub technicznego, regularne testowanie i ocenianie skuteczności ww. środków),
- udzielić pomocy administratorowi w wypełnianiu jego obowiązków względem osoby, której dane dotyczą lub Prezesa Urzędu Ochrony Danych Osobowych.
RODO nakłada również obowiązek usunięcia lub zwrotu wszelkich danych osobowych, a także usunięcia wszelkich ich istniejących kopii przez podmiot przetwarzający po zakończeniu przez niego świadczenia usług związanych z przetwarzaniem, chyba że prawo Unii lub prawo państwa członkowskiego nakazuje przechowywanie danych osobowych.
Audyty i kontrole u podmiotu przetwarzającego dane
Administrator danych ma prawo do przeprowadzenia kontroli podmiotu przetwarzającego w zakresie zgodności jego działalności z przepisami RODO i obowiązującymi wymogami w zakresie ochrony praw osób, których dane są przetwarzane. Przeprowadzanie audytów i kontroli u kontrahentów, którym powierza się dane do przetwarzania, już teraz staje się coraz bardziej powszechnym zjawiskiem. W umowie powierzenia przetwarzania danych warto określić termin, w jakim Administrator danych powinien poinformować podmiot przetwarzający o planowej kontroli.
Więcej na temat wyboru i weryfikacji podmiotów przetwarzających oraz umowy powierzenia przetwarzania danych opisaliśmy w artykule Audyt podmiotu przetwarzającego.
Udokumentowane polecenia administratora
Na mocy art. 28 ust. 3 lit. a RODO podmiot przetwarzający może przetwarzać dane osobowe wyłącznie na udokumentowane polecenie administratora. Polecenie to może być elementem umowy powierzenia lub też stanowić odrębny dokument. Warunkiem koniecznym jest jednak to, by forma przekazania polecenia (w tym ustalona w wiążącej administratora i procesora umowie lub innym instrumencie prawnym) umożliwiała jego udokumentowanie (zarówno przez administratora, jak i podmiot przetwarzający). Udokumentowanie polecenia ma istotne znaczenie dla wypełnienia wymogów rozliczalności, które zawarte są w RODO.
Dalsze powierzenie przetwarzania danych osobowych
Ustawodawca unijny w art. 28 ust. 2 RODO wprowadza regulację w zakresie tzw. podpowierzenia przetwarzania danych osobowych. Instytucja ta sprowadza się do możliwości korzystania przez podmiot przetwarzający (procesora) z usług innego podmiotu przetwarzającego w zakresie wykonywania czynności przetwarzania powierzonych pierwotnie przez administratora temu podmiotowi przetwarzającemu. Pojęcia "subprocesora" ("podprocesora") i "podpowierzenia" ("dalszego powierzenia") nie pojawiają się w treści przepisów RODO i nie są one w nim definiowane (w przeciwieństwie do pojęcia "podmiot przetwarzający" – art. 4 pkt 8 RODO). Są one natomiast pojęciami stosowanym od wielu lat.
Przykładem takiej sytuacji może być przekazanie przez biuro księgowe danych swoich klientów firmie, która dostarcza mu program informatyczny.
Dalsze powierzenie danych do przetwarzania następuje na podstawie umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego. Może jednak wystąpić tylko pod warunkiem uzyskania szczegółowej lub ogólnej pisemnej zgody administratora danych.
Nałożone na "podprocesora" obowiązki w zakresie ochrony danych osobowych pozostają takie same jak te wymienione w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym. Taki „podprocesor” podlega w szczególności obowiązkowi zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom rozporządzenia RODO.
Odpowiedzialność procesora wobec administratora za wypełnienie obowiązków, jakie wziął na siebie poprzez zawarcie z nim kontraktu, nie może być wyłączona poprzez zawarcie umowy o dalszym powierzeniu danych do przetwarzania. Jeżeli dalszy podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność za to obciąży procesora, który zawarł umowę z ADO.
Podsumowanie
Fundamentalną kwestią dla działalności podmiotów świadczących usługi związane z przetwarzaniem na zlecenie innych podmiotów danych osobowych jest zawarcie umowy powierzenia. Jak głosi art. 28 ust. 9 RODO umowa lub inny akt prawny, wiążący administratora z procesorem, powinny mieć formę pisemną, w tym formę elektroniczną.
Umowa powierzenia przetwarzania danych osobowych niespełniająca tego wymogu (np. umowa ustna) na gruncie prawa cywilnego jest ważna, natomiast może powodować niekorzystne skutki prawa administracyjnego. Niespełnienie tego wymogu powoduje naruszenie przepisów RODO i może powodować sankcje administracyjne.