W erze cyfrowej, gdzie dane osobowe stały się niezwykle wartościowym zasobem, a jednocześnie źródłem potencjalnych ryzyk dla prywatności, odpowiednie ich zarządzanie jest nie tylko koniecznością, ale również obowiązkiem prawnym. Kluczową rolę w tym procesie odgrywa umowa powierzania przetwarzania danych osobowych. Ale co to właściwie jest za umowa? Dlaczego jest tak ważna i kiedy należy ją podpisać? Czy można ją sfinalizować w formie elektronicznej? W niniejszym artykule przybliżymy istotę tego dokumentu, jego rolę, zawartość i aspekty związane z jego zawieraniem w praktyce biznesowej.
Spis treści
1. Czym jest umowa powierzenia przetwarzania danych osobowych
2. Umowa powierzenia tylko z podpisem kwalifikowanym
3. Kiedy potrzebna jest umowa powierzenia?
4. Co powinna zawierać umowa powierzenia
5. Obowiązki podmiotu przetwarzającego
Czym jest umowa powierzenia przetwarzania danych osobowych
W celu prowadzenia działalności gospodarczej często korzysta się z usług outsourcingowych świadczonych przez podmioty zewnętrzne. Powierzenie przetwarzania danych osobowych w ramach takiej umowy zależy od tego, czy nasz usługodawca przetwarza dane jako podmiot przetwarzający czy jako odrębny administrator.
Podmiot, który przetwarza dane osobowe, może przekazać je innemu podmiotowi tylko na podstawie umowy powierzenia, która musi być zawarta na piśmie lub w drodze innego instrumentu prawnego. Wymagania, jakie powinna spełniać taka umowa, zostały określone przez przepisy o ochronie danych osobowych. Odpowiedzialność za przestrzeganie tych przepisów spoczywa na podmiocie, któremu dane powierzono, jak i na administratorze, który te dane powierzył. Administrator, który przekazał dane innemu podmiotowi, nie przenosi na niego bezwzględnie całkowitej odpowiedzialności. Odpowiedzialność ta jest równoważnie rozłożona na oba podmioty.
Podmiot, któremu powierzono przetwarzanie danych, musi spełnić wymagania wynikające z przepisów o ochronie danych osobowych oraz posiadać odpowiednie środki techniczne i organizacyjne zabezpieczające przechowywanie i przetwarzanie danych. Nie można ustnie powierzyć przetwarzania danych. Każde takie zdarzenie musi zostać udokumentowane pisemnie.
Umowa powierzenia tylko z podpisem kwalifikowanym
Umowa powierzenia przetwarzania danych osobowych zgodnie z art. 28 ust. 9 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.) musi mieć formę pisemną. Oznacza to, że w przypadku formy elektronicznej niezbędne jest użycie kwalifikowanego podpisu elektronicznego.
Kiedy potrzebna jest umowa powierzenia?
Podmiot powierzający dane osobowe, czyli administrator, jest zobligowany do wskazania dokładnego zakresu danych, które zostaną przetworzone przez podmiot, któremu dane zostaną powierzone. Zazwyczaj obejmuje to kategorię osób, których dane dotyczą, takie jak pracownicy lub klienci, a także wymieniane są pojedyncze dane, takie jak imię, nazwisko, adres czy numer telefonu.
Drugim kluczowym elementem umowy powierzenia jest cel, czyli wskazanie przyczyny, dla której dane zostaną powierzone. Może to być powołanie się na konkretną umowę współpracy lub bezpośrednie określenie intencji, w jakiej dane zostają przetworzone. Ustalenie dokładnego zakresu i celu przetwarzania danych nakłada na podmiot, który otrzymał dane, obowiązek przetwarzania ich tylko zgodnie z wskazanymi w umowie obszarami.
Co powinna zawierać umowa powierzenia przetwarzania danych osobowych
Umowa ta powinna zawierać m.in. dokładny opis celów, dla których dane będą przetwarzane, rodzaj przetwarzanych danych, okres ich przetwarzania oraz zabezpieczenia stosowane w celu ochrony danych przed nieuprawnionym dostępem i utratą.
W umowie powierzenia przetwarzania danych osobowych należy określić przedmiot przetwarzania. Przedmiot ten będzie powiązany z realizacją przedmiotu umowy głównej zawartej pomiędzy administratorem a podmiotem przetwarzającym. Na przykład, jeśli podmiot zewnętrzny ma przetwarzać dane osobowe w celu wykonania działań marketingowych na zlecenie administratora, to przedmiot przetwarzania będzie dotyczył działań marketingowych.
Inne informacje, jakie powinny znaleźć się w umowie
Ważnym elementem umowy jest także czas trwania przetwarzania. Jest on powiązany z realizacją przez podmiot zewnętrzny usługi na rzecz administratora, na podstawie umowy zlecenia bądź świadczenia usług. Z kolei charakter przetwarzania danych osobowych obejmuje określenie częstotliwości, powtarzalności, czasowości, długoterminowości oraz masowości przetwarzania danych osobowych. Należy uwzględnić również rodzaj zastosowanych technologii.
W umowie powierzenia przetwarzania danych osobowych należy określić cel przetwarzania danych. Cel ten musi być zgodny z prawem, jasny i jednoznaczny. Przetwarzanie danych osobowych musi mieć uzasadniony cel, np. dla celów marketingowych lub realizacji umowy. Umowa musi także wymienić rodzaj danych osobowych, które będą podlegały przetwarzaniu. Wymienione dane powinny być zgodne z katalogiem danych osobowych określonym w art. 4 pkt 1 RODO oraz katalogiem danych szczególnych kategorii określonym w art. 9 ust. 1 RODO. W umowie należy również określić kategorię osób, których dane dotyczą, np. dane klientów lub pracowników.
Obowiązki podmiotu przetwarzającego
Zgodnie z zasadami RODO, umowa powierzenia przetwarzania danych osobowych musi określać również obowiązki podmiotu przetwarzającego. Minimalny zakres tych obowiązków został przedstawiony w art. 28 ust. 3 RODO. Zaliczają się do nich m.in. przetwarzanie danych tylko na udokumentowane polecenie administratora oraz zapewnienie, że dane będą przetwarzane tylko przez osoby upoważnione do tego i zobowiązane do zachowania tajemnicy.
Podmiot przetwarzający jest również zobowiązany do pomocy administratorowi w realizacji jego obowiązków, takich jak realizacja żądań osób, których dane są przetwarzane czy zgłaszanie naruszeń ochrony danych. Umowa powierzenia musi także zawierać zapis o zwrocie lub usunięciu danych osobowych po zakończeniu świadczenia usługi, z którą powiązane jest powierzenie przetwarzania danych osobowych.
Inne obowiązki
W przypadku przekazywania danych do państw trzecich umowa powierzenia musi określać sposób realizacji takiego przekazania oraz zabezpieczenia danych osobowych w tym procesie. Autorzy raportu sugerują, że polecenie takie może zostać zawarte w treści samej umowy powierzenia lub w odrębnych dokumentach na etapie realizacji umowy.
Ostatecznie, umowa powierzenia powinna zawierać informacje dotyczące przetwarzania danych, w tym szczegółowe informacje o celu i zakresie przetwarzania danych oraz umożliwić administratorowi przeprowadzenie audytów w zakresie realizacji tej umowy. Warto zwrócić uwagę na to, że przestrzeganie tych wymagań jest kluczowe dla zapewnienia ochrony danych osobowych oraz uniknięcia kar finansowych z tytułu naruszenia przepisów RODO.
Umowa powierzenia przetwarzania danych osobowych – podsumowanie
Jak widzisz, umowa powierzenia przetwarzania danych osobowych wiąże się z wieloma różnymi uwarunkowaniami. Przy jej zawieraniu należy wziąć pod uwagę szereg odmiennych aspektów. Wszystko jednak służyć powinno bezpieczeństwu danych i zabezpieczeniu oczekiwań klienta, który takowe przechowywanie danych zleca. Pamiętaj, by szczegółowo analizować każdą zawieraną umowę.
