Umowa powierzenia przetwarzania danych osobowych

20 marca, 2020

Jeśli kierownictwo instytucji woli powierzyć kontrolę nad bezpieczeństwem wymaganym przepisami RODO innemu podmiotowi, wystarczy umowa powierzenia przetwarzania danych osobowych. Wówczas usługodawca przejmuje całkowitą odpowiedzialność za ochronę poufnych informacji względem przepisów prawa i roszczeń osób poszkodowanych z tytułu Kodeksu Cywilnego. Warto jednak pamiętać o kilku detalach, by w przypadku egzekwowania odpowiedzialności od podmiotu zewnętrznego dopełnić wszystkich procedur świadczących o legalności zawartej umowy.

Art. 28 Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej Rozporządzenie RODO, reguluje kwestię powierzenia przetwarzania danych osobowych.

Komu możemy powierzyć przetwarzanie danych osobowych?

Art. 28 ust. 1 Rozporządzenia RODO jasno wskazuje, iż jeżeli Administratora danych osobowych chce powierzyć przetwarzanie danych, to musi skorzystać z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych.
Ma to na celu zapewnienie bezpieczeństwa danych, zgodnego z prawem ich przetwarzania oraz ochrony praw osób, których dane dotyczą.

W jakiej formie powierzamy przetwarzanie danych osobowych?

Zgodnie z treścią art. 28 ust. 3 Rozporządzania RODO „przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego”.

W praktyce możemy spotkać się, iż powierzenie przetwarzania danych będzie odbywać się m.in.

w ramach odrębnej Umowy powierzenia przetwarzania danych osobowych,
w ramach umowy podstawowej z zapisami o powierzeniu przetwarzania danych osobowych,
inne instrumenty prawne, które podlegają prawu Unii lub prawu państwa członkowskiego np. w ramach ustawy.

Umowa powierzenia przetwarzania danych osobowych może być zawarta w wersji papierowej jak i elektronicznej.

Co powinna zawierać umowa powierzenia przetwarzania danych osobowych?

Przygotowując wzór umowy powierzenia przetwarzania danych osobowych należy uwzględnić następujące pozycje: (art. 28 ust. 3 Rozporządzenia RODO)

Przedmiot przetwarzania
Czas trwania przetwarzania
Charakter i cel przetwarzania
Rodzaj danych osobowych (zakres danych osobowych)
Kategorie osób, których dane dotyczą
Obowiązki oraz prawa Administratora danych osobowych

W umowie warto także uregulować kwestie związane z poufnością danych osobowych, jeżeli nie zawarliśmy odrębnej umowy o poufności (NDA) ale także w jaki sposób będą realizowane prawa osób, których dane dotyczą.

Umowę powierzenia przetwarzania danych osobowych podpisują upoważnione osoby i tak np.

w przypadku działalności gospodarczej czyni to właściciel firmy,
podmioty wpisane do Krajowego Rejestru Sądowego – zgodnie z reprezentacją w KRS.

Możemy także upoważnić osobę do zawarcia w naszym imieniu Umowy powierzenia, ale wymaga to przygotowania oraz podpisania pisemnego upoważnienia.

Obowiązki Podmiotu przetwarzającego

Bez względu na powyższe zapisy Umowa powierzenia przetwarzania danych osobowych powinna regulować nie tylko obowiązki Administratora Danych Osobowych, ale także podmiotu przetwarzającego.

Wynikają one wprost z art. 28 ust. 3 Rozporządzenie o ochronie danych osobowych i zalicza się do nich m.in.

przetwarzanie danych osobowych wyłącznie na udokumentowane polecenie Administratora,
osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,
podejmuje wszelkie środki wymagane na mocy art. 32 Rozporządzenia RODO ( środki techniczne i organizacyjne),
uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36 np. kwestia naruszenia ochrony danych osobowych,
po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych,
udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków.

Podsumowanie

W związku z zapewnieniem ochrony danych osobowych oraz wywiązaniem się z obowiązku warto jest:

określić z jakim podmiotem należy zawrzeć umowę powierzenia przetwarzania danych osobowych
opracować oraz wdrożyć procedurę weryfikacji podmiotów przetwarzających,
opracować wzór umowy powierzenia przetwarzania danych osobowych,
poinformować oraz przeszkolić pracowników,
prowadzić rejestr zawartych umów powierzenia przetwarzania danych osobowych.

Anna Ozga

Audytor Wewnętrzny Systemu Zarządzania Bezpieczeństwem Informacji ISO 27001, Pełnomocnik ds. ISO. Odpowiada m.in. za kompleksowe wdrażanie RODO, wspieranie przedsiębiorców w zakresie zabezpieczania danych w firmie, prowadzenie audytów wewnętrznych.

Najnowsze posty

Jak nie dać się oszukać na fałszywy załącznik w mailu?

25 marca 2025

Jak skonstruować silne i bezpieczne hasło?

25 marca 2025

Jak przygotować się na kontrolę UODO w 2025 roku?

25 marca 2025

Prywatność to nie tylko obowiązek, to inwestycja w przyszłość!

25 marca 2025

Udostępnij

Dodaj komentarz

Najnowsze posty

Jak nie dać się oszukać na fałszywy załącznik w mailu?

25 marca 2025

Jak skonstruować silne i bezpieczne hasło?

25 marca 2025

Jak przygotować się na kontrolę UODO w 2025 roku?

25 marca 2025

Prywatność to nie tylko obowiązek, to inwestycja w przyszłość!

25 marca 2025

Obowiązki administratora danych w kontekście Ustawy o ochronie sygnalistów

2 października 2024

Polityka prywatności RODO

7 maja 2020