Umowa powierzenia przetwarzania danych osobowych – w jaki sposób ją sporządzić?
Tworząc dzisiejszy wpis chciałem zająć się tylko jednym z aspektów umowy powierzenia przetwarzania danych osobowych. Na samym wstępie, przypominam podstawę prawną umowy powierzenia przetwarzania danych osobowych:
Art. 31 ustawy o ochronie danych osobowych:
1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.
2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.
4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.
5. Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19.
Sporządzenie i zawarcie umowy powierzenia przetwarzania danych osobowych, powinno leżeć przede wszystkim w interesie administratora danych. To administrator danych ponosi największą część odpowiedzialności za przetwarzane we własnym zakresie lub powierzone innym podmiotom dane osobowe. Jednymi z częstszych sytuacji, wymagających sporządzenia umów powierzenia przetwarzania danych są sytuacje przechowywania danych osobowych (przechowywanie danych jest również formą ich przetwarzania) na serwerach należących do podmiotów zewnętrznych. Inne, często spotykane w obrocie gospodarczym sytuacje to korzystanie z usług firm marketingowych czy outsourcing kadr lub księgowości. Oczywiście, w każdej z w/w sytuacji ustawa nakazuje sporządzanie pisemnych umów powierzenia przetwarzania danych osobowych. Teraz, przechodząc do sedna sprawy, chciałbym przedstawić najważniejsze zapisy takiej umowy, pozwalające w jak największym stopniu przerzucić odpowiedzialność na podmiot któremu dane zostały powierzone do przetwarzania. Aby zachować należytą staranność w procesie powierzenia przetwarzania danych osobowych, umowy powierzania powinny być tak konstruowane, aby administrator danych osobowych mógł kontrolować sposób przetwarzania danych osobowych.
Tak więc w pierwszej kolejności, należy zobowiązać podmiot przetwarzający dane osobowe do stosowania przy ich przetwarzaniu przepisów ustawy o ochronie danych osobowych.
Po drugie, należy zamieścić postanowienie, że usługobiorca zobowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem.
Kolejną kwestią o którą w umowie powinien zadbać administrator danych, jest zapewnienie mu kontroli nad procesem przetwarzania danych osobowych przez podmiot, któremu dane powierzono do przetwarzania. Taka kontrola może zapewniona choćby przez możliwość dokonania osobistych oględzin miejsca przetwarzania danych osobowych.
Warto także zastrzec w umowie, że administratorowi danych przysługuje uprawnienie do kontrolowania przestrzegania zasad przetwarzania danych osobowych w ten sposób, że przedstawiciele administratora będą np. uprawnieni do żądania od osób uprawnionych ze strony usługobiorcy do kontaktów z administratorem oraz udzielenia potrzebnych informacji dotyczących przetwarzania przez usługobiorcę danych osobowych objętych bazą danych.
Nie można zapomnieć również o dokładnym uregulowaniu sytuacji, kiedy powierzona do przetwarzania baza danych przestanie być użyteczna. Należy określić sposób postępowania podmiotu, któremu powierzono dane do przetwarzania w w/w sytuacji. Oczywiście taka baza powinna zostać zniszczona w sposób uniemożliwiający osobom trzecim odzyskanie danych osobowych wchodzących w skład zbioru.
W zależności od stosunków łączących administratora danych z usługobiorcą, można również zastrzec kary umowne za naruszenie postanowień umowy.
Oczywiście należy mieć cały czas na uwadze ustawowe wymogi umowy powierzenia przetwarzania danych osobowych. Umowa musi być sporządzona w formie pisemnej i precyzować cel i zakres powierzenia przetwarzania danych osobowych.
Prawidłowo sporządzona umowa powierzenia przetwarzania danych osobowych sprawia, że większa część odpowiedzialności za powierzone dane osobowe spoczywać będzie na zleceniobiorcy. Jest to szczególnie istotne przy powierzeniu danych wrażliwych lub we wszelkiego rodzaju sytuacjach, kiedy istnieje podwyższone ryzyko wycieku danych osobowych. Odpowiednie zadbanie o stronę prawną przetwarzania danych osobowych pozwala na niemal całkowite wyłączenie bezpośredniej odpowiedzialności prawnej administratora danych osobowych.
5 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Witam,
w naszej firmie jedna z osób świadczy nam usługi w ramach prowadzonej przez siebie działalności gospodarczej (chodzi m. in. o podpisywanie umów z klientami) – czy w takim przypadku konieczne będzie podpisanie umowy powierzenia przetwarzania danych, czy wystarczy samo upoważnienie?
Witamy 🙂
Powierzenie czy upoważnienie. Tutaj zawsze jest dylemat. Jeśli osoba, o której Pani pisze prowadzi jednoosobową działalność i nie zatrudnia pracowników, to warto wziąć pod uwagę nadanie upoważnienia do przetwarzania danych osobowych. Tym samym potraktować ją jak własnego pracownika. Jeśli tak nie jest i np. usługa jest świadczona poza Państwa siedzibą to sugerujemy zawarcie umowy powierzenia.
pozdrawiamy
Witam ponownie 🙂
dziękuję za odpowiedź na moje pytanie 🙂
Witam,
Jedna z firm, która prowadzi nam hosting chce przeprowadzić płatny audyt przed podpisaniem umowy powierzenia przetwarzania danych i za każdy miesiąc trwania takiej umowy chce pobierać opłatę. Czy to jest zgodne z prawem? Bardzo proszę o odpowiedź.
Dzień dobry. RODO nie reguluje tych kwestii, więc jest to do ustalenia w drodze decyzji biznesowej. Pozdrawiamy!