Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Czy umowa powierzenia jest zawsze konieczna?

Od 25 maja 2018 roku można zaobserwować „RODOpanikę”. Jedną z jej objawów było szaleńcze tempo aneksowania wielu umów głównych (o świadczenie różnego rodzaju usług) i załączanie do nich umów powierzenia. Winnym tego jest artykuł 28 RODO, który określa zasady współpracy pomiędzy Administratorem Danych, a współpracującym z nim Procesorem.

Właśnie z tego artykułu dowiadujemy się, że niezbędne jest zapewnienie odpowiedniego zabezpieczenia danych osobowych, celem spełniania wymogów Rozporządzenia. Dlatego należy podpisać umowę powierzenia między Administratorem Danym a Procesorem. Ustęp 3 wspomnianego artykułu 28 RODO wskazuje, jakie obligatoryjne elementy powinny znaleźć się w takim dokumencie.

Dlatego wraz z wdrażaniem RODO, w całym kraju rozpoczęły się negocjacje umów powierzenia. Byli nawet tacy przedsiębiorcy, którzy tworzyli umowy i wysyłali do wszystkich współpracujących firm – niezależnie od tego czy powierzenie danych osobowych zachodziło czy nie.

A przecież ustęp 3 artykułu 28 stanowi wyraźnie:

Art 28 ust 3 RODO Aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć „Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego (…)”.

Inny instrument prawny

Zachowania niektórych Administratorów Danych, jak podany wyżej przykład przedsiębiorców, mogą sugerować, że nie każdy zauważył ów fragment artykułu 28 RODO – „lub innego instrumentu prawnego”. A rozwiązania regulacji powierzenia mogą być różne. W artykule chciałbym się skupić na dwóch z bardziej popularnych, tj. regulaminie usługi i ogólnych warunkach umowy.

Przykładem takiego rozwiązania może być regulamin usługi. To rozwiązanie jest warte polecenia szczególnie podmiotom, które występują jako Procesor. Wszystkie elementy, które zostały wymienione w artykule 28 mogą znaleźć się w takim regulaminie. W umowie z kontrahentem należy zapisać, że kwestie powierzenia danych osobowych uregulowane są w regulaminie usługi. Może on stanowić załącznik lub też w treści umowy można dodać oświadczenie Administratora Danych, że zapoznał się z treścią regulaminu i zgadza się na jego warunki. Dodatkowo regulamin taki może być zamieszczony na stronie internetowej, aby potencjalny klient mógł się z nim zapoznać jeszcze przed negocjowaniem umowy głównej.

Drugim rozwiązaniem dla uregulowania powierzenia danych osobowych są ogólne warunki umowy. Takie rozwiązanie jest dogodne zarówno dla Administratora Danych jak i Procesora. Podobnie jak w przypadku regulaminu usługi, tak i tu zamieszczamy obligatoryjne elementy z artykułu 28 RODO w jej treści. Ogólne warunki umowy mogą być również dołączone jako załącznik lub w treści umowy głównej może zostać zamieszczone oświadczenie o zapoznaniu stron z ich treścią i akceptacją warunków.

Oczywiście nie są to wszystkie możliwości zastosowania innego instrumentu prawnego. Przykładami takich rozwiązań mogą być jeszcze: akt prawny lub jednostronna czynność prawna, o ile spełniają wszystkie przesłanki określone a artykule 28 ust. 3 oraz 9.

Korzyści wynikające z innego instrumentu prawnego

Zastosowanie innych rozwiązań niż umowa powierzenia może potencjalnie skrócić czas negocjacji warunków powierzenia. Są to rozwiązania systemowe dla organizacji, które mogą wpłynąć na to, że warunki powierzenia danych wyglądają tak samo z każdy kontrahentem.

Kolejną korzyścią jest skrócenie długości umów, szczególnie przy zastosowaniu oświadczeń o zapoznaniu się z treścią i akceptacją warunków innego instrumentu prawnego. A krótsze umowy, to mniejsza objętość segregatorów i ich mniejsza ilość. Co również można przekuć na korzyści wizerunkowe, jako działania proekologiczne – mniejsze zużycie papierów, tonerów do drukarek itd.

Ale jednak…

Ale oczywiście nie zmienia to faktu, że może trafić się kontrahent, który zażyczy sobie specjalnych warunków powierzenia danych osobowych. Wtedy, jeśli zależy nam na takiej współpracy, musimy przystąpić do negocjacji treści umowy powierzenia przetwarzania danych osobowych. Oczywiście można też próbować negocjować  treść zapisów regulaminu usług lub ogólnych warunków umowy.

Bo umowa powierzenia nie zawsze jest koniecznością.

Pobierz artykuł w PDF

Źródła:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych)
  • Ustawa z dnia 23 kwietnia 1964 r. Kodeks Cywilny (Dz.U z 2018 r., poz. 1025 ze zm.)

Powiązane artykuły

Pierwsze oznaki wpływu RODO na postępowania
RODO dokumentacja w praktyce, czyli zjedz tego słonia po kawałku
Wyznaczenie Inspektora Ochrony Danych (IOD) – najczęściej zadawane pytania

Zostaw odpowiedź