Czy wiesz, co powinna zawierać umowa powierzenia danych? W tym artykule wskazuję na 6 głównych punktów umowy powierzenia danych, o które trzeba zadbać.

 

Kiedy dochodzi do powierzenia danych?

Zanim przejdę do meritum wyjaśnię jeszcze kwestię tego, czym jest powierzenie danych. Powierzenie wystąpi w sytuacji, gdy administrator danych osobowych, np. Twoja firma lub instytucja, przekazuje dane osobowe innym podmiotom. Nie jest to jednak zwykłe przekazanie danych. Muszą zostać spełnione dwa inne warunki. Po pierwsze, udostępnienie danych następuje w celu wykonania zadania w imieniu administratora danych. Po drugie, dane osobowe, które są przekazywane są nierozerwalnie związane z czynnością, którą druga strona ma wykonać. Tylko te czynniki spełnione łącznie będą powodować, że masz do czynienia z powierzeniem.

Najczęściej z umową powierzenia będziemy spotykać się w przypadku usług informatycznych i systemów do przetwarzania danych. Jeśli więc firma informatyczna opiekuje się systemem, w którym znajdują się dane osobowe to dochodzi do powierzenia danych. Mogą to być systemy kadrowo – płacowe, księgowe, CRM, a także hosting, poczta elektroniczna, przechowywana na zewnętrznych serwerach.

Serwis IT lub biuro rachunkowe to tylko niektóre z przypadków powierzenia danych.

Kolejny, często spotykany przypadek to powierzenie danych do  zewnętrznego biura rachunkowego, gdy administrator przekazuje dane pracowników lub klientów będących osobami fizycznymi do rozliczenia w jego imieniu.  Serwis IT lub biuro rachunkowe to jednak tylko niektóre z przypadków powierzenia danych.

RODO a powierzenie danych osobowych.

W przypadku powierzenia danych  obowiązkiem administraora  jest zawrzeć umowę powierzenia przetwarzania danych. Umowa powierzenia umożliwia przekazanie danych firmie zewnętrznej w celu wykonania w imieniu administratora usługi lub zadania. Obowiązek jej zawarcia wynika z art. 28 ustęp 3 RODO.

Powierzenie to specjalna konstrukcja prawna, która zapewnia legalność przetwarzania danych obydwu podmiotom. Z jednej strony umowa powierzenia umożliwia administratorowi przekazanie danych firmie zewnętrznej, a z drugiej ta firma otrzymuje  przesłankę do ich przetwarzania w imieniu administratora. Firma, która przetwarza dane osobowe na zlecenie administratora nazywana jest podmiotem przetwarzającym lub procesorem.

Powierzenie przetwarzania jest bardzo powszechną praktyką i praktycznie każda organizacja, zarówno prywatna, jak i publiczna, na co dzień ma do czynienia z powierzeniem.

 

Co powinna zawierać umowa powierzenia danych osobowych?

W tej części artykułu podpowiem Ci na co należy zwrócić uwagę przy zawieraniu umowy powierzenia. Jeśli potrzebujesz sprawdzonego wzoru umowy powierzenia wraz z omówieniem mój e-book: Wszystko o powierzeniu danych + wzory”.

Wszystkie umowy powierzenia danych, które przygotowuję opieram na poniższych punktach. Jest ich 6.  Moim zdaniem to abosultne minimum tego, co powinnam w praktyce zawierać umowa powierzenia danych.

 

Punkt nr 1. Strony umowy.

W umowie powierzenia danych należy przede wszystkim dokładnie określić strony umowy. Wydaje się to często punktem, nad którym nie warto dyskutować. Jednak źle skonstruowane nagłówki spowodują, że strony będą miały problem, aby wskazać swoją rolę w procesie przetwarzania. 

Ustalenia właściwego nazewnictwa stron w umowie pomoże także określić, czy faktycznie dochodzi do powierzenia. Często bowiem organizacje próbują zawierać powierzenia danych tam, gdzie nie jest to wcale konieczne. Tym samym nadmiernie interpretują kwestię powierzena danych. Dlatego warto w momencie tworzenia umowy dobrze zastanowić się nad tym, kto jest administratorem, a kto podmiotem przetwarzającym. 

Firma lub instytucja, która jest administratorem danych osobowych i powierza je dalej, może być nazwana Zleceniodawcą, Administratorem danych lub Podmiotem powierzającym. Natomiast stronę, która te dane przyjmuje w powierzenie nazwiemy Zleceniobiorcą, Podmiotem przetwarzającym lub Procesorem.

Punkt nr 2. Cel powierzenia danych.

Niezbędnym elementem każdej umowy powierzenia jest identyfikacja celu, w jakim dane osobowe zostają powierzone i co Podmiot przetwarzający może z danymi zrobić. Celem może być np. serwis i utrzymanie systemu informatycznego, w którym dane są przetwarzane. Istnienie celu jest niezbędne do skutecznego powierzenia danych i zawarcia umowy.

Punkt nr 3. Zakres powierzenia danych.

Kolejnym punktem, który powinna zawierać umowa powierzenia danych jest jej zakres. Należy określić szczegółowo to, jakie konkretne dane osobowe będą przetwarzane w imieniu administratora. Wystaczy wymienić kategorie danych w umowie powierzenia lub osobnym załączniku do umowy. Nie może być bowiem żadnych wątpliwości na temat tego, jakie dane osobowe otrzymuje procesor.

Punkt nr 4. Zabezpieczenia danych.

Zleceniobiorca zobowiązany jest do odpowiedniego zabezpieczenia danych, które otrzymuje od Zleceniodawcy. Zasadniczo, te zabezpieczenia powinny być nie mniejsze, niż wprowadzone dotąd przez Administratora Danych Osobowych. Mowa tu o zabezpieczeniu przed ujawnieniem, zniszczeniem i utratą danych osobowych. W związku z tym, jeden z paragrafów umowy powierzenia powinien konkretnie mówić o tym zobowiązaniu Podmiotu przetwarzającego.

Podmiot przetwarzający zobowiązany jest do odpowiedniego zabezpieczenia danych, które otrzymuje od administratora. Zasadniczo, te zabezpieczenia nie powinny być nie mniejsze, niż wprowadzone dotąd przez administratora danych osobowych. Mowa tu o zabezpieczeniu przed ujawnieniem, zniszczeniem, utratą danych osobowych, czy nieautoryzowaną modyfikacją. W związku z tym, jeden z paragrafów umowy powierzenia powinien konkretnie wskazywać zobowiązanie procesora do ochrony danych i środki zabezpieczające. 

 

Punkt nr 5. Kontrola i weryfikacja procesora.

Administrator danych ma prawo do kontroli (i weryfikacji) zabezpieczeń wprowadzonych przez podmiot przetwarzający, dlatego odpowiedni zapis powinien znaleźć się w treści umowy powierzenia. W tym miejscu warto określić termin, w jakim administrator powinien poinformować procesora o planowej kontroli. Pozwoli to w przyszłości uniknąć problemów związanych z utrzymaniem ciągłości działania. Gdyby kilka organizacji w tym samym czasie planowało przeprowadzenie kontroli w jednej firmie mogłoby to sparaliżować jej działanie.

Warto przy tym pamiętać, że prawo do kontroli nie jest tylko uprawnieniem administratora danych, ale jego obowiązkiem. Zgodnie z art. 28 ustęp 1 RODO administrator danych jest zobowiązany do korzystania wyłącznie z zaufanych i sprawdzonych procesorów. Takim podmiotem będzie ten, który zapewnia wysokie gwarancje ochrony danych. Jedną z form kontroli może być także przeprowadzenie ankiety sprawdzającej.  To niewątpliwie jest mniej kosztowne i czasochłonne rozwiązanie niż fizyczna kontrola. Przykład takiego wzoru ankiety spradzającej procesora wraz z omówieniem znajdziesz w e-booku „Wszystko o powierzeniu danych + wzory”.

 

Punkt nr 6. Informowanie o naruszeniu danych.

Warto w umowie powierzenia zawrzeć zapis o tym, w jakim terminie podmiot przetwarzający poinformuje administratora danych o zaistniałym naruszeniu. Dotyczy to wszytskich sytuacji zagrażających bezpieczeństwu przetwarzanych danych osobowych. To o tyle istotne, że administrator danych zobowiązany jest zgłosić takie naruszenie do organu nadzorczego (PUODO) w ciągu 72 godzin od momentu jego stwierdzenia. Tym samym należy przewidzieć w umowie powierzenia danych odpowiednio wcześniejszy termin na powiadomienie administratora. 

 

Punkt nr 7. Podpowierzenie danych.

W niektórych przypadkach może wystąpić podpowierzenie danych. Jest to sytuacja dość częsta i nie można jej całkowicie uniknąć. Dlatego kwestia podpowierzenia powinna być dokładnie opisana w umowie i być jednym z punktów obowiązkowych. 

Warunkiem podpowierzenia jest niezbędność do wykonania usługi lub zadania. Nie może być to swobodne podjęcie decyzji przez procesora. Przykładem niezbędności może być, np.  korzystanie z usług biura księgowego, które powierza przetwarzanie danych znajdujących się w systemach informatycznych firmie serwisującej. Korzystanie z systemów, w których dane się znajdują jest konieczne do wykonania usługi. Biuro księgowe podpowierza dalsze przetwarzanie, ponieważ utrzymanie systemu księgowego jest po stronie innego podmiotu.

Co do zasady podmiot przetwarzający nie może podpowierzać danych bez uprzedniej zgody administratora. Podmioty podpowierzające, które są znane na dzień umowy powinny zostać od razu w niej wskazane. Jeśli natomiast zmiana podmiotu przetwarzającego następuje w trakcie korzystania z usług, to administrator musi zostać o tym poinformowany. Zgodnie bowiem z RODO może sprzeciwić się dalszemu powierzeniu danych.

 

Punkt nr 8. Poufność i odpowiedzialność.

Umowa powierzenia danych powinna także zawierać punkt dotyczący poufności i odpowiedzialności za dane. Pełną odpowiedzialność za przetwarzane dane osobowe ponosi administrator danych. Z kolei podmiot przetwarzający także może ponieść konsekwencje, jeśli to on przyczynił się do niezgodności lub naruszenia bezpieczeństwa danych.

Wszelkie informacje udostępnione w toku wykonania umowy powierzenia są poufne i nie wolno ich ujawniać.

Pamiętaj, aby umowę powierzenia podpisać przed przekazaniem danych osobowych.

 

Forma i termin zawarcia powierzenia danych.

Jak w przypadku każdej umowy, umowę powierzenia danych firmie zewnętrznej należy przygotować w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron. Wszelkie zmiany do umowy należy, rzecz jasna, aneksować. Oczywiście, jeśli to potrzebne, do umowy można dodać załączniki, np. wykaz podwykonawców.  Bardzo istotne jest, aby umowę powierzenia podpisać przed przekazaniem danych osobowych.

Warto wiedzieć, że umowy powierzenia nie trzeba podpisywać z podmiotami i instytucjami, które mogą otrzymywać dane osobowe na podstawie przepisów prawa. W tym gronie podmiotów uprawnionych można wymienić, np. ZUS, Urząd Skarbowy, Policja. Umowa powierzenia nie będzie wówczas potrzebna, ponieważ mamy do czynienia z udostępnieniem danych, a nie ich powierzeniem.

Mam nadzieję, że już wiesz co powinna zawierać umowa powierzenia danych i zastosujesz te wskazówki w swoich umowach.

 

error: Nie kopiujemy!