Umowa powierzenia przetwarzania danych osobowych – co powinna zawierać umowa powierzenia?

Powierzenie przetwarzania danych osobowych to jedna z najczęściej wykorzystywanych procedur w obszarze ochrony danych osobowych. Praktycznie każda firma korzysta z zewnętrznych dostawców różnych usług lub produktów, którym powierza przetwarzane przez siebie dane osobowe. Czasami może być trudno jednoznacznie stwierdzić czy w danej relacji biznesowej dochodzi do powierzenia danych. Poniżej znajdziesz odpowiedź na to czym jest powierzenie przetwarzania danych, jakie podmioty biorą w nim udział, jakie obowiązki ciążą na administratorze danych a jakie na podmiocie przetwarzającym oraz jak powinna wyglądać sama umowa powierzenia. Aby odpowiedzieć sobie na powyższe pytania należy sięgnąć do RODO czyli ogólnego rozporządzenia o ochronie danych.

Zamów wzór umowy powierzenia zgodny z RODO

Wzór umowy powierzenia zgodny z RODO możesz zamówić w sklepie dostępnym na blogu Umowy w IT. Taki wzór umowy powierzenia przetwarzania danych osobowych może być wykorzystywany jako niezależna umowa lub też jako załącznik do umowy umowy głównej (np. umowy wdrożeniowej, SLA lub umowy o świadczenie usług programistycznych).

Podmiot przetwarzający i powierzenie przetwarzania danych

Podmiotem przetwarzającym jest osoba lub podmiot, która w imieniu administratora danych przetwarza dane. Bardzo ważne jest to, że to przetwarzanie dokonywane jest właśnie w imieniu administratora. Oznacza to, że po pierwsze podmiot przetwarzający (czasem zwany procesorem) przetwarza dane, których administratorem jest inny podmiot i może to robić wyłącznie po to aby zrealizować jakiś konkretny cel administratora. Procesor nie może decydować o sposobach i celach przetwarzania danych powierzonych mu do przetwarzania przez administratora. 

Przykładowo administrator przetwarza dane swoich pracowników i kontrahentów w systemie CRM w chmurze dostarczanym przez firmę X. Firma X jest w takim wypadku procesorem względem administratora. Przetwarza dane administratora – czyli dane pracowników – wyłączenie w celach wskazanych mu przez administratora i robi to w jego imieniu. Co więcej gdy administrator zrezygnuje z jego usługi (np. wybierze inny system CRM), podmiot przetwarzający utraci możliwość przetwarzania tych danych. 

Kto może być podmiotem przetwarzającym (procesorem)?

W zasadzie każda firma najczęściej występuje w podwójnej roli. Jest administratorem jakiś danych (czyli decyduje o sposobie ich przetwarzania) oraz procesorem względem innych administratorów. Tak się dzieje np. w firmach usługowych. Są one administratorami np. danych swoich pracowników lub baz mailingowych, które zbierają na potrzeby swoich działań marketingowych i równocześnie są procesorami względem firm, dla których świadczą usługi. 

Jak wybrać procesora?

Z uwagi na to, że podejście do ochrony danych osobowych w RODO oraz do wyboru odpowiednich środków bezpieczeństwa oparte jest na ryzyku to administrator powinien korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Ta gwarancja powinna przede wszystkim dotyczyć wiedzy fachowej procesora, jego wiarygodność i zasoby.

Czy procesor może korzystać z dalszych procesorów?

Do bardzo częstych sytuacji należą te, w których administrator powierza do przetwarzania dane podmiotowi przetwarzającemu a ten podpowierza je dalej kolejnemu podmiotowi. Ważne jest to, że do takiego podpowierzenia nie może dojść bez wcześniejszej zgody administratora. Z racji tego, że to administrator w pierwszej kolejności odpowiada za incydenty związane z administrowanymi przez niego danymi osobowymi – nawet gdy do incydentu doszło z winy procesora lub dalszego procesora – powinien on znać cały “łańcuch” podpowierzeń swoich danych aby być w stanie prowadzić ew. działania kontrolne. 

Przykłady powierzenia przetwarzania danych

Do powierzenia danych osobowych dochodzi np. gdy korzystasz z:

1. usług hostingowych,
2. systemu do wystawiania faktur,
3. systemu typu CRM,
4. zewnętrznej księgowości,
5. systemu do wysyłki newslettera,
6. podwykonawców, którzy prowadzą działalność gospodarczą.

Umowa powierzenia przetwarzania danych osobowych

Powierzenie przetwarzania danych osobowych dokonuje się najczęściej na podstawie umowy. Co ważne, nie musi to być umowa w zwykłej formie pisemnej. Możesz podpisać ją elektronicznie, a nawet zaakceptować ją w formie checkboxu. Ale bezwzględnie powinna być ona zawarta. RODO wskazuje na podstawowe elementy umowy powierzenia przetwarzania danych. Taka umowa powinna w szczególności stanowić, że podmiot przetwarzający:

1. przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora,
2. zapewnia, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,
3. podejmuje wszelkie środki związane z bezpieczeństwem przetwarzania,
4. przestrzega warunków korzystania z usług innego podmiotu przetwarzającego,
5. w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z jego obowiązków wynikających z RODO,
6. pomaga administratorowi wywiązać się z obowiązków związanych m.in. ze środkami bezpieczeństwa, zgłaszania incydentów organowi nadzorczemu, zawiadamiania osób, których dane dotyczą,
7. po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie,
8. udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w RODO oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów.

Sankcje za brak umowy powierzenia

Warto pamiętać, że brak zawartej umowy oraz naruszenie obowiązków związanych z powierzeniem przetwarzania danych osobowych to jedno z podstawowych naruszeń w RODO. Naruszenia w tym zakresie podlegają karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.