Umowa powierzenia przetwarzania danych osobowych – wzór
Umowa zawierana między administratorem a procesorem, czyli podmiotem przetwarzającym dane jest zdecydowanie najważniejszym ogniwem współpracy między nimi. Sprawdź naszą propozycję wzoru umowy powierzenia przetwarzania danych osobowych.
Umowa powierzenia przetwarzania danych osobowych
Błyskawiczny rozwój outsourcingu usług związanych z prowadzeniem działalności gospodarczej oraz wejście w życie przepisów ogólnego rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.5.2016 r.) - dalej jako „RODO” spopularyzował umowę powierzenia przetwarzania danych osobowych, zawieraną z podmiotami świadczącymi usługi kadrowe, księgowe, serwisu IT, ochrony mienia i osób, obsługę w zakresie BHP, prowadzenia zewnętrznego archiwum, przeprowadzania konkursów przez agencję reklamową na zlecenie klienta i inne. Takie podmioty stają się, w świetle prawa, podmiotami przetwarzającymi dane osobowe w imieniu i na zlecenie administratora danych. Podmiot, któremu powierzane są dane do przetwarzania nie staje się ich administratorem (chociaż ponosi odpowiedzialność tak samo, jak administrator), a jedynie wykonuje operacje na należących do administratora danych, w sposób i w celu ściśle przez niego określonym.Podmiot, któremu dane powierzono nie ma prawa ich wykorzystywać, do własnych celów (w szczególności dodawać ich do własnej bazy klientów/marketingowej oraz dalej udostępniać/sprzedawać. Nie może również wykorzystywać ich do promocji własnych produktów i usług). Powierzaniu może podlegać dowolna czynność na danych - od gromadzenia, przez edycję, przechowywanie, usunięcie.
Umowa zawierana między administratorem a procesorem, czyli podmiotem przetwarzającym dane jest zdecydowanie najważniejszym ogniwem współpracy między nimi.
Kto może być podmiotem przetwarzającym dane na zlecenie administratora danych.
Ogólne rozporządzenie o ochronie danych jednoznacznie precyzuje, kto może być procesorem, tj. podmiotem przetwarzającym dane osobowe. Podmiotem przetwarzającym dane może być zatem:
- osoba fizyczna lub prawna,
- organ publiczny,
- jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Elementy umowy powierzenia przetwarzania danych
Przepisy RODO oznaczają dla administratorów danych osobowych nową rzeczywistość w aspekcie umów powierzenia przetwarzania i wskazują wprost elementy, które umowa taka powinna zawierać.
Mowa tutaj o art. 28 RODO, określającym podstawowy katalog obowiązkowych zapisów umowy powierzenia. Niedostosowanie zapisów umowy do nowych wymagań może rodzić szereg negatywnych konsekwencji, między innymi w postaci wysokich kar pieniężnych - zarówno po stronie administratora, jak i podmiotu przetwarzającego.
Przechodząc do zakresu przedmiotowego umowy powierzenia należy zauważyć, że jej treść powinna zawierać następujące elementy:
- Określenie administratora danych,
- Określenie podmiotu przetwarzającego dane na zlecenie administratora,
- przedmiot przetwarzania,
- czas trwania przetwarzania,
- charakter i cel przetwarzania,
- rodzaj powierzonych danych osobowych (tu należy wpisać konkretne kategorie danych osobowych, przy czym wskazać należy czy są to dane zwykłe czy szczególne kategorie danych czy też takie, które dotyczą wyroków skazujących i naruszeń prawa).
- kategorię osób, których dane dotyczą (np. jeśli przetwarzaniu podlegają dane pracowników i kontrahentów to każda z tych grup stanowi odrębną kategorię osób).
- obowiązki i prawa administratora,
- obowiązki podmiotu przetwarzającego.
Wymienione powyżej elementy to minimum, które powinna zawierać każda umowa. Nie jest jednak wykluczone, aby zawrzeć w niej jeszcze dodatkowe elementy, które będą stanowić dodatkowe zabezpieczenie. Przykładowo może to być wprowadzenie kar umownych za naruszenia ochrony danych przez przedmiot przetwarzający, wprowadzenie zasad przeprowadzania audytów lub określenie sposobów zakończenia współpracy w przyszłości.
Warto w umowie powierzenia zawrzeć zapis o tym, w jakim terminie podmiot przetwarzający poinformuje administratora danych o zaistniałym naruszeniu bezpieczeństwa przetwarzanych danych osobowych (jeżeli takie wystąpi). To o tyle istotne, że Administrator Danych zobowiązany jest zgłosić takie naruszenie do organu nadzorczego (Urzędu Ochrony Danych Osobowych) w ciągu 72 godzin od momentu jego stwierdzenia.
Sprawdź naszą propozycję wzoru umowy powierzenia przetwarzania danych osobowych:
Umowa powierzenia przetwarzania danych osobowych - wzór
Oczywiście każda z sytuacji powierzenia będzie posiadała swoją specyfikę, wzór ten pomoże jednak w zrozumieniu najważniejszych elementów tej umowy.
I jeszcze jedna ważna informacja:
Umowa powierzenia przetwarzania danych osobowych powinna zostać sporządzona na piśmie. Możliwa jest również jej forma elektroniczna.
Obowiązki administratora i podmiotu przetwarzającego
W stosunku do poprzedniego stanu prawnego, nowością, którą wprowadziło RODO jest obowiązek spoczywający na administratorze danych, polegający na sprawdzeniu podmiotu, któremu mają zostać powierzone dane i dołożeniu szczególnej staranności przy jego wyborze.
Zgodnie z art. 28 ust. 1 RODO administrator powinien korzystać wyłącznie z usług podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą np. pracowników, klientów, kontrahentów. Podmiot przetwarzający musi zapewnić przynajmniej taki sam poziom ochrony jak administrator danych, dokonywać regularnego szacowania ryzyka oraz być w stanie zapewnić ciągłość działania.
W szczególności procesor powinien:
- zapewnić zachowanie tajemnicy przetwarzanych danych osobowych,
- zagwarantować odpowiednie bezpieczeństwo ich przetwarzania (środki zapewnienie bezpieczeństwa mogą obejmować np. pseudonimizację i szyfrowanie danych osobowych, zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania, przywracanie dostępności danych w razie incydentu fizycznego lub technicznego, regularne testowanie i ocenianie skuteczności ww. środków),
- udzielić pomocy administratorowi w wypełnianiu jego obowiązków względem osoby, której dane dotyczą lub Prezesa Urzędu Ochrony Danych Osobowych
RODO wprowadza również obowiązek usunięcia lub zwrotu wszelkich danych osobowych, a także usunięcia wszelkich ich istniejących kopii przez podmiot przetwarzający po zakończeniu przez niego świadczenia usług związanych z przetwarzaniem, chyba że prawo Unii lub prawo państwa członkowskiego nakazuje przechowywanie danych osobowych.
Audyty i kontrole u podmiotu przetwarzającego dane
Administrator danych ma prawo do przeprowadzenia kontroli podmiotu przetwarzającego w zakresie zgodności jego działalności z przepisami RODO i obowiązującymi wymogami w zakresie ochrony praw osób, których dane są przetwarzane. Przeprowadzanie audytów i kontroli u kontrahentów, którym powierza się dane do przetwarzania, już teraz staje się coraz bardziej powszechnym zjawiskiem. W umowie powierzenia przetwarzania danych warto określić termin, w jakim Administrator danych powinien poinformować podmiot przetwarzający o planowej kontroli.
Jednocześnie podmiot przetwarzający nie może korzystać z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora.
Z jakimi podmiotami nie trzeba podpisywać umowy powierzenia przetwarzania danych
Należy zaznaczyć, że umowy powierzenia nie trzeba podpisywać z podmiotami i instytucjami, które mogą otrzymywać dane osobowe od Administratora Danych na podstawie przepisów prawa (np. ZUS, Urząd Skarbowy, komornik, Policja, Prokuratura, etc.), ponieważ w tym przypadku mamy do czynienia z udostępnieniem danych osobowych, a nie ich powierzeniem.
To o czym należy pamiętać w procesie podpisywania umowy powierzania danych osobowych i związanym z tym przekazywaniem danych to to, że przekazanie danych do powierzenia powinno nastąpić dopiero po zawarciu stosownej umowy, a nigdy wcześniej.
Dalsze powierzenie przetwarzania danych osobowych
Podmiot, któremu powierza się dane może, w pewnych sytuacjach, mieć potrzebę powierzyć te dane dalej, kolejnemu podmiotowi. Przykładem takiej sytuacji może być przekazanie przez biuro księgowe danych swoich klientów firmie, która dostarcza mu program informatyczny. Taką sytuację nazywamy podpowierzeniem.
Możliwość dalszego powierzenia danych do przetwarzania przewiduje wprost samo rozporządzenie (art. 28 ust. 2 i 4). Dalsze powierzenie danych do przetwarzania następuje na podstawie umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego. Może jednak wystąpić tylko pod warunkiem uzyskania szczególnej lub ogólnej pisemnej zgody administratora danych.
Podmiot, któremu podmiot przetwarzający powierza dane do dalszego przetwarzania to tzw. podprocesor. Nałożone na niego obowiązki w zakresie ochrony danych osobowych pozostają takie same, jak te wymienione w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym. Taki „podprocesor” podlega w szczególności obowiązkowi zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom rozporządzenia RODO.
Odpowiedzialność procesora wobec administratora za wypełnienie obowiązków, jakie wziął na siebie poprzez zawarcie z nim umowy, nie może być wyłączona poprzez zawarcie umowy o dalszym powierzeniu danych do przetwarzania. Jeżeli inny podmiot przetwarzający („podprocesor”) nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność za to obciąży procesora, który zawarł umowę z ADO.