Co znajdziesz w tym materiale:
W dniu 28 maja 2023 roku minie 5 lat od dnia wejścia w życie unijnego rozporządzenia regulującego ochronę danych osobowych. Pomimo upływu tego okresu w dalszym ciągu wielu przedsiębiorców wciąż nie wie, że przekazując innym dostęp do posiadanych przez siebie danych osobowych powinno podpisać umowę powierzenia danych osobowych. Jeśli nawet wie o takim obowiązku to nie ma świadomości kiedy i na jakich zasadach powinno się to odbyć. W artykule tym chciałbym kwestie te przedstawić i wyjaśnić. Również wskazać pewne rozwiązanie, które być może znacząco ułatwi obieg danych osobowych w Twojej firmie.
Zacznijmy jednak od początku. Przepisy ogólnego rozporządzenia o ochronie danych 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.5.2016 r.) – dalej jako „RODO” wprost określają jakie elementy musi zawierać umowa powierzenia przetwarzania danych osobowych, aby można było o niej powiedzieć że jest ona zgodna z prawem. Zanim do tego przejdziemy w pierwszej kolejności wyjaśnię kto oraz kiedy taką umowę musi zawrzeć. Jak również jaki jest cel takiej umowy.
Kto i kiedy musi zawrzeć umowę powierzenia danych osobowych?
Jak już wspomniałem, z powierzeniem przetwarzania danych osobowych mamy do czynienia w przypadku, gdy podmiot zewnętrzny działając imieniem administratora wykonuje pewne operacje na danych osobowych. Wskazać trzeba, że w tym wypadku to administrator określa cel oraz sposób przetwarzania tych danych. Upraszczając – powierzenie przetwarzania będzie miało miejsce, gdy administrator skorzysta z pewnych usług firm zewnętrznych realizowanych na jego rzecz w celu spełnienia określonych przez administratora celów, które to mogą wynikać z obowiązujących przepisów – np. związanych z prawem pracy czy prowadzeniem ksiąg rachunkowych.
Warto dodać, że cel ten nie zawsze musi wiązać się z realizacją jakiegoś prawnego obowiązku, a wynikać wprost z realizacji założonych przez nas celów – tak jak np. w przypadku realizacji usług związanych z prowadzeniem rekrutacji czy też kampanii marketingowych. I tak „typową sytuacją” kiedy musimy zawrzeć umowę powierzenia przetwarzania danych osobowych jest przypadek, gdy korzystamy z usług zewnętrznego biura rachunkowego, kadrowo-płacowego, związanych z prowadzeniem hostingu, czy też związanych z prowadzeniem kampanii marketingowych w oparciu o naszą bazę danych klientów np. mailing do klientów. Są to więc typowe sytuacje biznesowe, a nie kwestie, które przytrafiają się – jak niekiedy zdarza mi się słyszeć – największym firmom.
Istotnym jest, iż podmiot przetwarzający musi spełniać co najmniej te same warunki przetwarzania danych osobowych co administrator. Administrator uprawniony jest do powierzenia przetwarzania danych wyłącznie podmiotowi, który zapewni wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Tak aby przetwarzanie spełniało wymogi określone w RODO oraz zapewniało odpowiednią ochronę osobom, których dane te dotyczą. Część obowiązków podmiotu przetwarzającego pokrywa się z obowiązkami administratora. Takimi są choćby na przykład wskazane powyżej obowiązki związane z wdrożeniem odpowiednich środków technicznych czy organizacyjnych. To zresztą, rzec można, główny i podstawowy obowiązek każdego podmiotu, który dysponuje jakimikolwiek danymi osobowymi
Porozmawiaj z ekspertem 🎯
Borykasz się z zagadnieniem, które tutaj poruszyłem? Skontaktuj się ze mną! Wspólnie znajdziemy najlepsze rozwiązanie dla Twojego biznesu.
Obowiązki administratora przez zawarciem umowy powierzenia
Przed zawarciem umowy powierzenia przetwarzania danych osobowych, a w zasadzie przed podjęciem decyzji o powierzeniu przetwarzania danych przez podmiot trzeci administrator powinien dokonać weryfikacji takiego podmiotu. Na gruncie przepisów RODO bardzo ważnym stał się wybór procesora. Tak „fachowo” nazywany jest podmiot, któremu dane powierzamy – który będzie przetwarzał dane w naszym imieniu. W celu zabezpieczenia swoich interesów samo zawarcie umowy powierzenia przetwarzania danych osobowych nie będzie wystarczające. Tym samym administrator przed powierzeniem danych powinien podjąć działania zmierzające do ustalenia, czy procesor spełnia odpowiednie wymogi w zakresie ochrony danych osobowych. Do tego trzeba ustalić między innymi to z jakich narzędzi korzysta w procesie wykorzystywania powierzonych mu danych.
Procedura takie sprawdzenia może wyglądać różnie. Może polegać na weryfikacji spełnienia przez taką firmę wszystkich wymogów wynikających z RODO. W przypadku jednak podmiotów, które posiadają uznane certyfikaty w zakresie danych osobowych lub też posiadają zatwierdzone kodeksy postępowania uznaje się, że podmioty te dają odpowiednią gwarancję ochrony danych osobowych. Ich weryfikację można w zasadzie ograniczyć do weryfikacji czy posiadają one dla przykładu aktualny certyfikat, albo do weryfikacji takiego kodeksu.
Weryfikacja
Najczęściej jednak mamy do czynienia z sytuacją, w której to podmioty, które mają przetwarzać dane w naszym imieniu nie dysponują takimi certyfikatami czy też kodeksami postępowania. Wtedy, o czym już wspomniałem, trzeba te podmioty zweryfikować. Przepisy RODO nie określają wprost wytycznych jakie czynności powinny zostać przeprowadzone w celu weryfikacji takiego podmiotu. Tym samym administrator ma w tym wypadku pełną dowolność, co sposobu przeprowadzenia weryfikacji. Może on zlecić przeprowadzenie audytu takiego podmiotu. Niemniej jednak biorąc pod uwagę realia takie rozwiązanie będzie miało zazwyczaj miejsce w przypadku podmiotów przetwarzających dane osobowe na dużą skalę oraz działających w branży finansowej czy też ubezpieczeniowej, ewentualnie medycznej. Celem weryfikacji możemy też posłużyć się ankietą, check listą czy też oświadczeniem złożonym przez ten podmiot. W każdym razie przepisy RODO stawiają przed administratorem obowiązek sprawdzenia procesora co do spełnienia przez niego wszystkich obowiązków.
Elementy umowy powierzenia przetwarzania danych osobowych
Po tym gdy już ustalimy, że dane w ogóle możemy powierzyć można zająć się umową powierzenia przetwarzania danych osobowych. Tak jak już wspomniałem RODO wprost określają elementy jakie powinny znaleźć się w umowie o powierzenie przetwarzania danych osobowych.
Te elementy to:
1. Przedmiot przetwarzania – zaznaczyć trzeba, że będzie się on wiązał z umową główną i realizacją obowiązków z niej wynikających.
2. Czas trwania umowy – jest ściśle związany z czasem trwania umowy na podstawie, której świadczona jest usługa na rzecz administratora.
3. Charakter przetwarzania danych osobowych – polega na wskazaniu jakie czynności będą wykonywane na danych osobowych przekazanych procesorowi przez administratora danych.
4. Określenie celu przetwarzania danych osobowych – i tu po raz kolejny będziemy odnosić się do umowy głównej, którą zawarły strony. Cały czas pamiętać musimy, iż cel przetwarzania danych osobowych zawsze ustalany jest przez administratora danych osobowych.
5. Rodzaj danych osobowych – jakie dane zostaną przekazane procesorowi przez administratora. Z uwzględnieniem rozróżnienia tych danych na dane „zwykłe” a dane szczególnych kategorii – np. dotyczące zdrowia. Chodzi tutaj o to, aby wskazać jakie dane zostaną przekazane procesorowi.
6. Kategorie osób, które dane dotyczą – w umowie wskazać trzeba, grupę osób, których dane osobowe będą powierzone do przetwarzania. Kategorią osób będzie na przykład wskazanie, że dane dotyczą pracowników czy też klientów.
7. Obowiązki i prawa administratora – w umowie jako element istotny pojawiają się również prawa i obowiązki administratora. Do podstawowych zaliczyć należy przede wszystkim określenie terminu i sposobu przekazania tych danych czy też udzielanie informacji procesorowi.
Procesor i subprocesor
Oczywistym jest, iż w umowie powierzenia przetwarzania danych osobowych powinny pojawić się również obowiązki drugiej strony, a więc procesora. Minimalny ich zakres został również wskazany w RODO. Do głównych należy zapewnienia, aby osoby upoważnione do przetwarzania danych osobowych np. jego pracownicy, zobowiązały się do zachowania tajemnicy. Podmiot przetwarzający ma w miarę możliwości pomóc wywiązać się z obowiązków nałożonych na administratora. W szczególności do wywiązania się z obowiązku odpowiadania na żądanie osoby, której dane dotyczą. Na podstawie tej umowy procesor powinien zobowiązać się do dokonania zwrotu danych czy nośników, które zawierały dane osobowe po rozwiązaniu umowy.
W umowie warto również uregulować kwestię dalszego powierzenia danych osobowych. Chodzi tutaj o kwestię związaną z korzystaniem z podwykonawców w celu realizacji umowy. Istotnym jest, że kwestia ta również została uregulowana w przepisach RODO. Otóż administrator może wyrazić ogólną zgodę na korzystanie z dalszych podwykonawców – subprocesorów . Zgoda ta może być uzależniona od powstania szczególnych okoliczności. Warto zaznaczyć, że w interesie administratora byłoby, aby posiadał wykaz dalszych podmiotów przetwarzających dane osobowe.
Odpowiedzialność procesora
Kwestia ta została w pewnej części uregulowana w przepisach RODO określając sposób ponoszenia przez procesora odpowiedzialności. W części nieuregulowanej przez przepisy RODO strony umowy mogą poczynić dodatkowe ustalenia mieszczące się w zakresie swobody umów. I tak strony mogą wprowadzić dla przykład kary umowne za nieprzestrzeganie postanowień wynikających z umowy. Takie postanowienie może działać mobilizująco i być bardzo istotne w kontekście egzekwowania prawidłowego realizowania umowy. Nie zapominajmy jednak, że musi być ono skonstruowane świadomie. Bez tego nawet pozorne zabezpieczenie w postaci kary umownej może okazać się pułapką dla administratora danych osobowych.
Odnosząc się jednak do uregulowań wynikających z RODO a dotyczących odpowiedzialności procesora podmiot przetwarzający będzie ponosił odpowiedzialność za szkody spowodowane przetwarzaniem jedynie w przypadku, gdy przetwarzanie to odbywało się w sprzeczności z przepisami RODO lub gdy procesor działał niezgodnie z wytycznymi i poleceniami administrator a te z kolei są zgodne z RODO. Oczywiście procesor może uwolnić się od tej odpowiedzialności. Wówczas zobowiązany jest on do wykazania, iż nie ponosi on winy za zdarzenie, które spowodowało szkodę.
Warto wspomnieć, że w przypadku korzystania przez procesora z usług dalszych podwykonawców za dopuszczenie się przez nich naruszeń przepisów RODO pełną odpowiedzialności w stosunku do administratora i tak będzie on ponosił sam.
Istotnym z punktu widzenia ponoszenia odpowiedzialności przez podmiot powierzający dane osobowe jest również fakt, że osoba, która poniosła szkodę w związku z dopuszczeniem się naruszenia przepisów RODO przez procesora będzie właśnie od powierzającego, a nie procesora dochodzić swoich praw. W tym wypadku odszkodowanie to będzie dochodzone bezpośrednio od administratora, który to będzie mógł później dochodzić tytułem regresu zwrotu poniesionych przez niego kosztów związanych z usunięciem szkody. Wynika to zarówno bezpośrednio z przepisów RODO jak również Kodeksu cywilnego.
Podsumowanie
Umowa powierzenia przetwarzania danych osobowych powinna zostać obowiązkowo zawarta przez administratora danych. Dokładnie w przypadku, gdy będzie on korzystał z usług podmiotu trzeciego. W celu realizacji celów określonych przez administratora. Pamiętać należy również, że RODO wprost określa minimum jakie umowa taka powinna zawierać. W przypadku nie zawarcia umowy powierzenia, gdy byliśmy do tego zobowiązaniu narażamy się na pieniężną karę administracyjną.
Zawierając umowę pamiętaj również o wstępnej weryfikacji podmiotu, któremu powierzasz przetwarzanie danych osobowych. Pomóc w tym może odpowiednio przygotowana dokumentacja dotycząca ochrony danych osobowych w firmie, między innymi polityka ochrony danych osobowych.
Doceniasz tworzone przeze mnie treści?
Daniel Sobota
RADCA PRAWNY
Prowadzę sprawy gospodarcze oraz reprezentuję przedsiębiorców w sporach sądowych. Zajmuję się również sporządzaniem i audytowaniem umów oraz dokumentów korporacyjnych. Ponadto prowadzę sprawy związane z ochroną danych osobowych oraz pomagam firmom w wypełnianiu obowiązków związanych z rejestrem BDO.
Skontaktuj się ze mną, chętnie odpowiem na Twoje pytania dotyczące naszej oferty i przedstawię rozwiązania dostosowane do Twojego biznesu.