Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Umowa powierzenia przetwarzania danych osobowych – w jaki sposób ją sporządzić?

Tworząc dzisiejszy wpis chciałem zająć się tylko jednym z aspektów umowy powierzenia przetwarzania danych osobowych. Na samym wstępie, przypominam podstawę prawną umowy powierzenia przetwarzania danych osobowych:

Art. 31 ustawy o ochronie danych osobowych:

1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.

2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.

3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.

4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową. 

5. Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19.

Sporządzenie i zawarcie umowy powierzenia przetwarzania danych osobowych, powinno leżeć przede wszystkim w interesie administratora danych. To administrator danych ponosi największą część odpowiedzialności za przetwarzane we własnym zakresie lub powierzone innym podmiotom dane osobowe. Jednymi z częstszych sytuacji, wymagających sporządzenia umów powierzenia przetwarzania danych są sytuacje przechowywania danych osobowych (przechowywanie danych jest również formą ich przetwarzania) na serwerach należących do podmiotów zewnętrznych. Inne, często spotykane w obrocie gospodarczym sytuacje to korzystanie z usług firm marketingowych czy outsourcing kadr lub księgowości. Oczywiście, w każdej z w/w sytuacji ustawa nakazuje sporządzanie pisemnych umów powierzenia przetwarzania danych osobowych. Teraz, przechodząc do sedna sprawy, chciałbym przedstawić najważniejsze zapisy takiej umowy, pozwalające w jak największym stopniu przerzucić odpowiedzialność na podmiot któremu dane zostały powierzone do przetwarzania. Aby zachować należytą staranność w procesie powierzenia przetwarzania danych osobowych, umowy powierzania powinny być tak konstruowane, aby administrator danych osobowych mógł kontrolować sposób przetwarzania danych osobowych.

Tak więc w pierwszej kolejności, należy zobowiązać podmiot przetwarzający dane osobowe do stosowania przy ich przetwarzaniu przepisów ustawy o ochronie danych osobowych.

Po drugie, należy zamieścić postanowienie, że usługobiorca zobowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem.

Kolejną kwestią o którą w umowie powinien zadbać administrator danych, jest zapewnienie mu kontroli nad procesem przetwarzania danych osobowych przez podmiot, któremu dane powierzono do przetwarzania. Taka kontrola może zapewniona choćby przez możliwość dokonania osobistych oględzin miejsca przetwarzania danych osobowych.

Warto także zastrzec w umowie, że administratorowi danych przysługuje uprawnienie do kontrolowania przestrzegania zasad przetwarzania danych osobowych w ten sposób, że przedstawiciele administratora będą np. uprawnieni do żądania od osób uprawnionych ze strony usługobiorcy do kontaktów z administratorem oraz udzielenia potrzebnych informacji dotyczących przetwarzania przez usługobiorcę danych osobowych objętych bazą danych.

Nie można zapomnieć również o dokładnym uregulowaniu sytuacji, kiedy powierzona do przetwarzania baza danych przestanie być użyteczna. Należy określić sposób postępowania podmiotu, któremu powierzono dane do przetwarzania w w/w sytuacji. Oczywiście taka baza powinna zostać zniszczona w sposób uniemożliwiający osobom trzecim odzyskanie danych osobowych wchodzących w skład zbioru.

W zależności od stosunków łączących administratora danych z usługobiorcą, można również zastrzec kary umowne za naruszenie postanowień umowy.

Oczywiście należy mieć cały czas na uwadze ustawowe wymogi umowy powierzenia przetwarzania danych osobowych. Umowa musi być sporządzona w formie pisemnej i precyzować cel i zakres powierzenia przetwarzania danych osobowych.

Prawidłowo sporządzona umowa powierzenia przetwarzania danych osobowych sprawia, że większa część odpowiedzialności za powierzone dane osobowe spoczywać będzie na zleceniobiorcy. Jest to szczególnie istotne przy powierzeniu danych wrażliwych lub we wszelkiego rodzaju sytuacjach, kiedy istnieje podwyższone ryzyko wycieku danych osobowych. Odpowiednie zadbanie o stronę prawną przetwarzania danych osobowych pozwala na niemal całkowite wyłączenie bezpośredniej odpowiedzialności prawnej administratora danych osobowych.

Powiązane artykuły

Umowa powierzenia przetwarzania danych osobowych dziś i według RODO
Powierzenie danych osobowych – odpowiedzialność i orzecznictwo
Program 500+ a ochrona danych osobowych

Zostaw odpowiedź