RODO w praktyce: czym jest umowa powierzenia przetwarzania danych osobowych?
Blog

RODO w praktyce: czym jest umowa powierzenia przetwarzania danych osobowych?

RODO w praktyce: czym jest umowa powierzenia przetwarzania danych osobowych?
Agata Podbielska
05.06.2024
5 min read

Jak już wskazywaliśmy w poprzednim artykule o podstawowych pojęciach związanych z przetwarzaniem danych osobowych, proces przetwarzania danych występuje w każdym przedsiębiorstwie i ze względu na występujące regulacje, należy mu się bliżej przyjrzeć, a na pewno nie można ich zignorować. W praktyce, administratorzy często przekazują przetwarzanie danych dodatkowym podmiotom i w tym zakresie RODO (art. 28) nakłada na administratorów szczególne zobowiązania dotyczące formułowania umowy powierzenia.

Kiedy powinniśmy zawrzeć umowę powierzenia przetwarzania danych osobowych?

Przede wszystkim, należy sobie odpowiedzieć na pytanie kiedy dane, które otrzymaliśmy będą przetwarzane przez inne podmioty.

Jeśli więc dochodzi do sytuacji, w której np. jakaś inna firma zewnętrzna świadczy dla Ciebie dodatkowe usługi z wykorzystaniem określonych, powierzonych Tobie danych osobowych, to wtedy właśnie konieczne jest zawarcie tytułowej umowy powierzenia.

Zatem do powierzenia przetwarzania danych osobowych może dojść w sytuacji współpracy m.in:

-z zewnętrznym biurem księgowym (zajmującym się np. rozliczeniami Twoich pracowników)

-z agencjami rekrutacyjnymi;

-z zewnętrzną firmą świadczącą dla Twojego przedsiębiorstwa usługę archiwum czy też niszczenia dokumentów;

-z hostingodawcą, o którym szerzej mówimy w naszym innym artykule.

Ciekawostką jest, że nie ma konieczności zawierania umowy powierzenianprzetwarzania danych osobowych (DPA) z Twoją kancelarią prawną. Jako zawód zaufania publicznego, który ma ustawowy nakaz zachowania tajemnicy i ochrony danych przed ujawnienie, nie mamy obowiązku zawierać DPA. ~Damian Sawicki

Nie trzeba jednak takiej umowy zawierać z podmiotami, które otrzymują określone dane na podstawie przepisów prawa, ponieważ tutaj dochodzi do udostępnienia danych, a nie ich przetwarzania. Do grona takich podmiotów zaliczyć można Policję, ZUS, Prokuraturę.

Umowa powierzenia przetwarzania danych osobowych stała się wyjątkowo popularna wraz z rozrostem świadczonych na rynku usług, a także coraz częstszym wykorzystywaniu outsourcingu.

Zatem, rozpoczynając współpracę z jakimkolwiek z zewnętrznych podmiotów, zastanów się czy dojdzie do powierzenia przetwarzania danych osobowych. Jeśli tak, to wówczas pojawia się konieczność zawarcia umowy powierzenia.

Elementy umowy o powierzeniu przetwarzania danych osobowych

Umowa powierzenia przetwarzania danych osobowych została określona w art. 28 RODO, który wprost wskazuje na obligatoryjne elementy tejże umowy. Umowa powierzenia, która nie będzie spełniała określonych wymogów będzie nieprawidłowa, a na strony tejże umowy mogą zostać nałożone kary.

Stronami takiej umowy są niewątpliwie administrator (podmiot decydujący o sposobie i celach przetwarzania przekazanych danych) oraz podmiot przetwarzający, który będzie przetwarzał dane na udokumentowane polecenie administratora.

W rozporządzeniu RODO znajdujemy dokładne wskazanie kto może być zakwalifikowany jako podmiot przetwarzający (art. 4 pkt 8). Może to być:

-osoba fizyczna,

-organ publiczny,

-jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Podmiot przetwarzający przetwarza dane w imieniu administratora, jednak nie staje się samym administratorem (nie decyduje o celach przetwarzania), a na podstawie umowy powierzenia odpowiednio przetwarza oraz dokonuje operacji na przekazanych danych. Niemniej, ponosi on odpowiedzialność za prawidłowość ww. aktywności tak jak i administrator danych.

Podkreślenia wymaga, że podmiot przetwarzający nie może wykorzystywać otrzymanych danych do własnych celów (np. nie może wykorzystywać dalej informacji osób których dane dotyczą w celach marketingowych).

Czas trwania przetwarzania danych osobowych jest zazwyczaj uzależniony od umowy głównej między określonymi osobami, których dane dotyczą.

Opisywana umowa powierzenia przetwarzania danych osobowych powinna zostać zawarta na piśmie lub w sposób elektroniczny.

Przedmiot umowy powierzenia

Zgodnie z wymogami wskazanymi w przepisach RODO, umowa powierzenia przetwarzania danych osobowych powinna zawierać:

-cel przetwarzania- do jednego z podstawowych obowiązków administratora danych jest określenie celu przetwarzania, w związku z czym administrator w umowie powierzenia musi wskazać podmiotowi przetwarzającemu jaki jest ów cel przetwarzania;

-rodzaj danych osobowych- należy pamiętać o wskazaniu rodzaju danych, które podlegały powierzeniu (np. czy są to dane zwykłe czy też wrażliwe);

-określnie katalogu osób których dane dotyczą- administrator musi także wskazać kategorię osób, których dane zostały powierzone np. czy są to dane pracowników czy innych kontrahentów;

-czas trwania przetwarzania- jest on zazwyczaj powiązany z umową główną określającą usługę świadczoną przez podmiot przetwarzający (np. usługi kadro-księgowe).

Wskazuje się także, że umowa powierzenia powinna zawierać postanowienie w zakresie obowiązku usunięcia określonych danych w momencie wygaśnięcia umowy. Choć wydaje się to oczywiste, dokładne uregulowanie tej materii może mieć kluczowe znaczenie dla obu stron, ponieważ oboje ponoszą odpowiedzialność za ochronę przekazanych danych.

W takiej umowie można wskazać, że dane mają wrócić do administratora danych w ciągu np. 3 dni od zakończenia współpracy, a dodatkowo podmiot przetwarzający zobowiązuje się do pisemnego potwierdzenia usunięcia wszelkich kopii przechowywanych danych.

Obowiązki i prawa administratora danych

Jednym z najważniejszych obowiązków spoczywających na administratorze danych jest odpowiedni wybór podmiotu przetwarzającego.

Stanowi o tym samy pkt 81 preambuły oraz art. 28 RODO nakładający obowiązek wyboru takiego podmiotu przetwarzającego, który dodatkowo gwarantuje wykorzystywanie odpowiednich środków technicznych, tak aby zapewnić należytą ochronę powierzonych danych osobowych.

Nie należy zatem podejmować decyzji co do wyboru podmiotu przetwarzającego zbyt szybko i bez rozwagi!

Żeby uchronić się przed nieuczciwymi osobami, zaleca się dokładne sprawdzenie potencjalnego podmiotu przetwarzającego, tak żeby mieć pewność że wszystkie kwestie organizacyjne oraz obowiązki są spełnione.

Dobrą praktyką może być np. przeprowadzenie wcześniejszego audytu, bądź dołączenie do umowy powierzenia przetwarzania danych osobowych załącznika stanowiącego formularz weryfikacyjny potwierdzający realizację wymogów stawianych przez przepisy RODO. Jest to o tyle przydatne, że jeśli w przyszłości doszłoby do jakiegokolwiek sporu, administrator od początku dysponuje dowodem mogącym mieć kluczowe znaczenie dla wyniku postępowania.

Administrator ma także prawo do dokonywania audytów i sprawdzania czy działania procesora są zgodne z RODO. Warto zatem w umowie powierzenia zawrzeć np. termin, w którym to administrator poinformuje o przeprowadzeniu kontroli.

Administrator danych może także w umowie powierzenia zastrzec brak możliwości procesora do dalszego podpowierzenia przekazanych danych osobowych. Jednocześnie, wskazuje się że umowa powierzenia przetwarzania danych osobowych może zawierać odmienne postanowienie zezwalające podmiotowi przetwarzającemu na dalsze powierzenie przetwarzania danych osobowych np. osobom ściśle wskazanym w umowie.

Jakie obowiązki ma podmiot przetwarzający (procesor)?

Obowiązki podmiotu przetwarzającego działającego na zlecenie administratora, zostały również sprecyzowane w rozporządzeniu. Powierzone dane muszą być chronione przynajmniej na takim samym poziomie jaki zapewniał to administrator danych.

Do zadań procesora (podmiotu przetwarzającego) należy też zapewnienie tajemnicy przekazanym danym czy też wdrożenie odpowiednich środków bezpieczeństwa lub organizacyjnych gwarantujących ochronę danych. Będzie on także ponosił odpowiedzialność za przetwarzanie przekazanych danych dla celów własnych.

W związku z uprawnieniem administratora do ograniczenia powierzenia przetwarzania danych do określonych w umowie podmiotów, procesor nie może zdecydować się na podpowierzenie tychże danych bez uzyskania najpierw zgody administratora.

Dodatkowo, podmiot przetwarzający ma za zadanie niesienie pomocy administratorowi w zakresie spoczywających na nim obowiązków dotyczących przetwarzania wynikających z RODO.

Kolejnym ważnym obowiązkiem jest prowadzenie rejestru czynności. Z konieczności jego prowadzenia będzie zwolniony podmiot, który zatrudnia mniej niż 250 osób. Niemniej, liczba zatrudnianych osób nie będzie mieć znaczenia, jeśli przetwarzanie może prowadzić do naruszenia praw lub wolności osób których dane dotyczą, nie jest sporadyczne, bądź dotyczy szczególnych kategorii danych osobowych o których mowa w art. 9 ust. 1 RODO (np. mówiące o przekonaniach religijnych, poglądach politycznych).

Podsumowanie

Na obu podmiotach tj. administratorze danych jak i podmiocie przetwarzającym spoczywa zobowiązanie w postaci zapewnienia odpowiedniej ochrony danych osobowych. Na powierzenie przetwarzania danych osobowych decyduje się wielu przedsiębiorców, co wynika z zawieranych w obrocie umów.

Polecamy zwrócić szczególną uwagę na zawarcie umowy powierzenia przetwarzania danych osobowych, ponieważ jest ona kluczowym dokumentem zapewniającym działanie zgodnie z obowiązującymi przepisami RODO.

Nieprawidłowe uregulowanie relacji występującej między administratorem, a podmiotem przetwarzającym może prowadzić do nałożenia kar finansowych (art. 83 RODO).

Chcesz wiedzieć więcej o holdingu?

Skontaktuj się z nami! Opowiemy CI na przykładach, w jaki sposób wygląda tworzenie holdingu i na co zwracaliśmy uwagę, projektując i tworząc holdingi dla naszych wspolników.

Chcesz zabezpieczyć się przed przejmowaniem Twoich specjalistów przez klientów albo konkurencję?

Gwarantuję, że nasi specjaliści zapewnią Ci skuteczną ochronę. Skontaktuj się z nami!

Chcesz wiedzieć jak wdrożyć ustawę o sygnalistach w Twojej firmie?

umów się na bezpłatną konsultację, podczas której odpowiemy na Twoje pytania.

Masz pytania dotyczące prokury?

Skorzystaj z naszego wieloletniego doświadczenia w doradztwie korporacyjnym. Odpowiemy na Twoje pytania i pomożemy wybrać optymalne rozwiązanie.

Potrzebujesz napisać ale sprawdzić umowę o zakazie konkurencji?

Umowa o zakazie konkurencji to jeden z podstawowych dokumentów, z których powinna korzystać każda firma w relacjach z partnerami, pracownikami czy podwykonawcami. Skontaktuj się z nami. Stworzymy umowę o zakazie konkurencji, która realnie zabezpieczy Twoje interesy.

Potrzebujesz wsparcia w rejestracji znaku towarowego?

Skontaktuj się z nami. Nasza rzeczniczka patentowa przeprowadzą Cię przez cały proces rejestracji szybko i bezpiecznie. Uzyskaj ochronę swojego znaku w Polsce, w UE albo na świecie.

Źle podpisana umowa online może być nieważna

Ryzykujesz czy wolisz mieć pewność? Skontaktuj się z nami i sprawdź jak poprawnie podpisywać umowy online

Nie wiesz jak wdrożyć przepisy o ochronie sygnalistów?

Nasi specjaliści są gotowi, żeby: 1. przygotować procedurę wewnętrzną obsługi zgłoszeń; 2. wdrożyć przepisy o ochronie sygnalistów 3. przeprowadzić szkolenie 4. pełnić funkcję osoby odpowiedzialnej za przyjmowanie i obsługę zgłoszeń

Nie wiesz jak napisać umowę NDA, która zabezpieczy interesy Twojej firmy?

Dlatego zajmiemy się tym za Ciebie. Skontaktuj się z nami i przekonaj się:)

Nie wiesz jak dostosować się do DSA?

skontaktuj się z naszymi specjalistami. Powiemy Ci co zrobić, żeby być zgodnym z DSA.

Wiemy, że nie masz czasu ani ochoty zajmować się likwidacją spółki

Dlatego zajmiemy się tym za Ciebie. Skontaktuj się z nami i sprawdź jak bezpiecznie i szybko zlikwidować spółkę zoo.

Nie wiesz jak dobrze udzielić licencji albo przenieść prawa autorskie?

Skorzystaj z naszego wieloletniego doświadczenia. Pomożemy Ci przygotować albo wynegocjować korzystną umowę licencyjną albo umowę przenoszącą majątkowe prawa autorskie.

Chcesz zarejestrować znak towarowy z dofinansowaniem SME Fund?

skontaktuj się nami! Nasz rzecznik patentowy odpowie na Twoje pytania, wyjaśni w jaki sposób skorzystać z dofinansowania oraz przeprowadzi Cię przez cały proces rejestracji znaku towarowego.

chcesz reklamować alkohol w Internecie ale nie wiesz jak?

skontaktuj się nami! odpowiemy na Twoje pytania, m.in. - jeżeli jesteś agencją digital i chcesz reklamować markę alkoholową w SoMe - jesteś e-commerce i nie wiesz jak prezentować alkohol w swojej ofercie - jesteś marketplace i nie wiesz jak wprowadzać merchantów alkoholowych do portalu i jak prezentować ich ofertę

chcesz wiedzieć więcej o odpowiedzialności członka zarządu?

skontaktuj się nami! odpowiemy na Twoje pytania, doradzimy jak możesz się zabezpieczyć

Potrzebujesz wsparcia przy checkboxach w swoim sklepie internetowym?

dla nas to piece of cake :) skontaktuj się nami!

Potrzebujesz wsparcia przy tworzeniu regulaminu na Twoją stronę internetową?

Stać Cię na profesjonalne wsparcie naszych prawników. Wykorzystamy nasze najlepsze doświadczenie i stworzymy regulamin dopasowany do twoich potrzeb oraz specyfiki strony.

Potrzebujesz term sheet i nie wiesz jak się do tego zabrać?

Stać Cię na profesjonalne wsparcie naszych prawników. Wykorzystamy naszej najlepsze doświadczenie transkacyjne, żeby przygotować term sheet, który będzie dopasowany do Twoich potrzeb i do Twojej transakcji.

Planujesz ekspansję Twojego biznesu do Polski i potrzebujesz zaufanego partnera?

Skorzystaj z naszego doświadczenia we wprowadzaniu zagranicznych za Polski rynek. Zyskaj sprawdzonego i doświadczonego partnera w rozwoju Twojego biznesu w Polsce

Potrzebujesz wsparcia w umową przeniesienia praw autorskich?

Skontaktuj się z nami jeżeli: - masz już umowę, ale nie wiesz czy zabezpiecza ona Twoje interesy; - chcesz zbyć / nabyć prawa autorskie ale nie masz umowy;

SHADOW IT dotyczy Twojej firmy?

Skontaktuj się z nami i odzyskaj kontrolę nad tym, w jaki sposób Twoi pracownicy korzystają z narzędzi AI.

potrzebujesz wsparcia przy tworzeniu regulaminu SaaS?

Skontaktuj się z nami. odpowiemy na Twoje pytania i zaproponujemy wsparcie.

Zastanawiasz się, czy narzędzia AI, z których korzystasz w firmie są bezpieczne?

Skontaktuj się z nami. odpowiemy na Twoje pytania albo zaproponujemy szkolenie z bezpieczeństwa korzystania z AI

Nie wiesz jak reklamować wyroby medyczne zgodnie z przepisami?

Skontaktuj się z nami. Odpowiemy na Twoje pytania, doradzimy jak reklamować wyroby medyczne zgodnie z nowymi wymogami

Zastanawiasz się jak legalnie wykorzystać treści stworzone z pomocą AI?

Nie tylko doradzamy w kwestiach prawnych związanych z AI, ale sami korzystamy z narzędzi wykorzystującej sztuczną inteligencję w codziennej działalności kancelarii. Chętnie podzielimy się swoimi doświadczeniami.

Nie wiesz jak prawidłowo informować klientów o obniżkach cen?

Przebrnięcie przez wytyczne UOKiK dot. informowania o obniżkach cen to nie lada wyczyn. Nawet dla nas, prawników. Oszczędź swój czas i miej pewność, że działasz zgodnie z przepisami. Skontaktuj się ze mną! Umówienie spotkania zajmie Ci mniej niż 2 minuty! Wspólnie znajdziemy najlepsze rozwiązanie dla Ciebie i Twojego biznesu

Skonsultuj się z ekspertem

Mierzysz się z zagadnieniem, o którym piszemy w tym artykule? Chcesz wiedzieć więcej? Skontaktuj się ze mną! Umówienie spotkania zajmie Ci mniej niż 2 minuty! Wspólnie znajdziemy najlepsze rozwiązanie dla Ciebie i Twojego biznesu

Udostępnij ten post

Zobacz także

Regulaminy korzystania z narzędzi AI - po co je czytać?

Regulaminy korzystania z narzędzi AI - po co je czytać?

Dlaczego powinieneś przeczytać regulamin narzędzia AI z którego korzystasz? Jakie to ma znaczenie dla bezpieczeństwa Twojego, Twojej firmy albo Twoich pracowników? Ten artykuł odpowiada na te pytania.
Marcin Lisowski
Marcin Lisowski
7 sierpnia 2023
Co powinien zawierać regulamin SaaS (Software as a Service)? 15 niezbędnych elementów

Co powinien zawierać regulamin SaaS (Software as a Service)? 15 niezbędnych elementów

Jeżeli tworzysz lub posiadasz aplikację w modelu SaaS i zastanawiasz się co powinien zawierać Twój regulamin, ten artykuł jest dla Ciebie.
Aleksandra Rojek
Aleksandra Rojek
01.09.2023
Shadow IT – związane z nim ryzyka i jak się przed nimi chronić

Shadow IT – związane z nim ryzyka i jak się przed nimi chronić

Z artykułu dowiesz się czym jest SHADOW IT i jakie ryzyka dla Twojej firmy z tego wynikają.
Marcin Lisowski
Marcin Lisowski
05 września 2023

Let's work together

Dziękujemy! Twoje zgłoszenie zostało wysłane!
Ups! Coś poszło nie tak podczas przesyłania formularza.