Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonus - ankietę do badania RODO-świadomości pracowników.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

Umowa powierzenia w formie regulaminu vs. forma pisemna

Od 25 maja 2018 roku można zaobserwować „RODO-panikę”. Jedną z jej objawów było szaleńcze tempo aneksowania wielu umów głównych (o świadczenie różnego rodzaju usług) i załączanie do nich umów powierzenia. Winnym tego jest artykuł 28 RODO, który określa zasady współpracy pomiędzy Administratorem Danych, a współpracującym z nim Procesorem.

Właśnie z tego artykułu dowiadujemy się, że niezbędne jest zapewnienie odpowiedniego zabezpieczenia danych osobowych, celem spełniania wymogów Rozporządzenia. Dlatego należy podpisać umowę powierzenia między Administratorem Danym a Procesorem. Ustęp 3 wspomnianego artykułu 28 RODO wskazuje, jakie obligatoryjne elementy powinny znaleźć się w takim dokumencie.

Dlatego wraz z wdrażaniem RODO, w całym kraju rozpoczęły się negocjacje umów powierzenia. Byli nawet tacy przedsiębiorcy, którzy tworzyli umowy i wysyłali do wszystkich współpracujących firm – niezależnie od tego czy powierzenie danych osobowych zachodziło czy nie.

A przecież ustęp 3 artykułu 28 stanowi wyraźnie:

Art 28 ust 3 RODO Aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć „Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego (…)”.

Inny instrument prawny

Zachowania niektórych Administratorów Danych, jak podany wyżej przykład przedsiębiorców, mogą sugerować, że nie każdy zauważył ów fragment artykułu 28 RODO – „lub innego instrumentu prawnego”. A rozwiązania regulacji powierzenia mogą być różne. W artykule chciałbym się skupić na dwóch z bardziej popularnych, tj. regulaminie usługi i ogólnych warunkach umowy.

Przykładem takiego rozwiązania może być regulamin usługi. To rozwiązanie jest warte polecenia szczególnie podmiotom, które występują jako Procesor. Wszystkie elementy, które zostały wymienione w artykule 28 mogą znaleźć się w takim regulaminie. W umowie z kontrahentem należy zapisać, że kwestie powierzenia danych osobowych uregulowane są w regulaminie usługi. Może on stanowić załącznik lub też w treści umowy można dodać oświadczenie Administratora Danych, że zapoznał się z treścią regulaminu i zgadza się na jego warunki. Dodatkowo regulamin taki może być zamieszczony na stronie internetowej, aby potencjalny klient mógł się z nim zapoznać jeszcze przed negocjowaniem umowy głównej.

Drugim rozwiązaniem dla uregulowania powierzenia danych osobowych są ogólne warunki umowy. Takie rozwiązanie jest dogodne zarówno dla Administratora Danych jak i Procesora. Podobnie jak w przypadku regulaminu usługi, tak i tu zamieszczamy obligatoryjne elementy z artykułu 28 RODO w jej treści. Ogólne warunki umowy mogą być również dołączone jako załącznik lub w treści umowy głównej może zostać zamieszczone oświadczenie o zapoznaniu stron z ich treścią i akceptacją warunków.

Oczywiście nie są to wszystkie możliwości zastosowania innego instrumentu prawnego. Przykładami takich rozwiązań mogą być jeszcze: akt prawny lub jednostronna czynność prawna, o ile spełniają wszystkie przesłanki określone a artykule 28 ust. 3 oraz 9.

Korzyści wynikające z innego instrumentu prawnego

Zastosowanie innych rozwiązań niż umowa powierzenia może potencjalnie skrócić czas negocjacji warunków powierzenia. Są to rozwiązania systemowe dla organizacji, które mogą wpłynąć na to, że warunki powierzenia danych wyglądają tak samo z każdy kontrahentem.

Kolejną korzyścią jest skrócenie długości umów, szczególnie przy zastosowaniu oświadczeń o zapoznaniu się z treścią i akceptacją warunków innego instrumentu prawnego. A krótsze umowy, to mniejsza objętość segregatorów i ich mniejsza ilość. Co również można przekuć na korzyści wizerunkowe, jako działania proekologiczne – mniejsze zużycie papierów, tonerów do drukarek itd.

Ale jednak…

Ale oczywiście nie zmienia to faktu, że może trafić się kontrahent, który zażyczy sobie specjalnych warunków powierzenia danych osobowych. Wtedy, jeśli zależy nam na takiej współpracy, musimy przystąpić do negocjacji treści umowy powierzenia przetwarzania danych osobowych. Oczywiście można też próbować negocjować  treść zapisów regulaminu usług lub ogólnych warunków umowy.

Bo umowa powierzenia nie zawsze jest koniecznością.

pobierz artykuł umowa powierzenia w formie regulaminu

Pobierz artykuł w PDF

Źródła:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych)
  • Ustawa z dnia 23 kwietnia 1964 r. Kodeks Cywilny (Dz.U z 2018 r., poz. 1025 ze zm.)

Powiązane artykuły

Upoważnienie do przetwarzania danych osobowych
Dane kontaktowe pracowników w umowie – powierzać czy nie powierzać, oto jest pytanie…
audyt RODO procesora
RODO audyt procesora – jak to zrobić z głową?
Umowa powierzenia przetwarzania danych osobowych według RODO

2 Odpowiedzi

  1. Magdalena

    Dzień dobry, czy w ramach grupy przedsiębiorstw (w rozumieniu RODO, powiązane lecz odrębne spółki) przekazywanie danych powinno odbywać się na podstawie umowy powierzenia czy nie jest to wymagane? Pozdrawiam

    1. Lex Artist

      Dzień dobry 🙂 W przypadku gdy mamy do czynienia z grupą przedsiębiorstw w rozumieniu RODO należy wsiąść pod uwagę treść motywu 48 preambuły – administratorzy, którzy są częścią grupy przedsiębiorstw lub instytucji powiązanych z podmiotem centralnym, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów lub pracowników. Pozostaje to bez wpływu na ogólne zasady przekazywania danych osobowych w ramach grupy przedsiębiorstw przedsiębiorstwu mieszczącemu się w państwie trzecim. Podsumowując: w celach administracyjnych dane pracowników i klientów nie wymagają zawierania umowy powierzenia. Pozostałe sytuacje będą jednak wymagały sformalizowanej umowy np. jeśli jedna ze spółek obsługuje HR pozostałych. pozdrawiamy

Zostaw odpowiedź