fbpx
Zaznacz stronę

Umowa powierzenia umożliwia Administratorowi przekazanie danych firmie zewnętrznej w celu wykonania w jej imieniu usługi lub zadania .

Jeżeli Administrator danych osobowych, np. Twoja firma lub instytucja, przekazuje dane osobowe innym podmiotom w celu wykonania w jej imieniu usługi lub zadania, z którymi nierozerwalnie związane jest przetwarzanie tych danych, to jego obowiązkiem jest zawrzeć z nimi umowę powierzenia przetwarzania danych.

Powierzenie przetwarzania wynika z art. 28 RODO i jest to specjalna konstrukcja prawna, która zapewnia legalność przetwarzania danych obydwu podmiotom. Z jednej strony umowa powierzenia umożliwia Administratorowi przekazanie danych firmie zewnętrznej, a z drugiej ta firma dostaje legalną przesłankę do ich przetwarzania w imieniu Administratora. Firma, która przetwarza dane osobowe na zlecenie Administratora nazywana jest Podmiotem Przetwarzającym lub Procesorem.

Powierzenie przetwarzania jest bardzo powszechną praktyką i praktycznie każda organizacja, zarówno prywatna, jak i publiczna, na co dzień ma do czynienia z powierzeniem. 

Najczęściej z umową powierzenia będziemy spotykać się w przypadku, gdy zewnętrzna firma informatyczna opiekuje się systemem informatycznym, w którym znajdują się dane osobowe. Mogą to być systemy kadrowo – płacowe, księgowe, CRM, a także hosting, poczta elektroniczna, przechowywana na zewnętrznych serwerach. 

Kolejny, często spotykany przypadek to powierzenie danych do  zewnętrznego biura rachunkowego, gdy Administrator przekazuje dane pracowników lub klientów będących osobami fizycznymi do rozliczenia w jego imieniu.  Serwis IT lub biuro rachunkowe to jednak tylko niektóre z przypadków powierzenia danych.

Obowiązek zawarcia umowy powierzenia wynika z art. 28 ustęp 3 RODO.

Co powinna zawierać umowa powierzenia danych osobowych?

W tym wpisie podpowiem Ci na co należy zwrócić uwagę przy zawieraniu umowy powierzenia. Jeśli potrzebujesz sprawdzonego wzoru umowy powierzenia wraz z omówieniem sprawdź moją ofertę – e-book „Wszystko o powierzeniu danych + wzory”.

Strony

Tworzenie umowy powiedzenia należy rozpocząć od ustalenia właściwego nazewnictwa stron. Firma czy instytucja, która jest Administratorem danych osobowych i powierza je dalej, może być nazwana Zleceniodawcą, Administratorem danych lub Podmiotem powierzającym. Natomiast stronę, która te dane przyjmuje w powierzenie nazwiemy Zleceniobiorcą, Podmiotem przetwarzającym lub Procesorem.

Cel

Niezbędnym elementem każdej umowy powierzenia jest identyfikacja celu, w jakim dane osobowe zostają powierzone i co Podmiot przetwarzający może z danymi zrobić.  Celem może być np. serwis i utrzymanie systemu informatycznego, w którym dane są przetwarzane.

Zakres

Należy określić szczegółowy zakres czyli konkretne dane osobowe (np. imię, nazwisko, PESEL, etc.), które Podmiot przetwarzający otrzymuje w powierzenie od Administratora danych.

Zabezpieczenia

Zleceniobiorca zobowiązany jest do odpowiedniego zabezpieczenia danych, które otrzymuje od Zleceniodawcy. Zasadniczo, te zabezpieczenia powinny być nie mniejsze, niż wprowadzone dotąd przez Administratora Danych Osobowych. Mowa tu o zabezpieczeniu przed ujawnieniem,  zniszczeniem i utratą danych osobowych. W związku z tym, jeden z paragrafów umowy powierzenia powinien konkretnie mówić o tym zobowiązaniu Podmiotu przetwarzającego.

Upoważnienia i oświadczenia

Podmiot przetwarzający zobowiązany jest do odpowiedniego zabezpieczenia danych, które otrzymuje od Administratora, swojego Zleceniodawcy. Zasadniczo, te zabezpieczenia powinny być nie mniejsze, niż wprowadzone dotąd przez Administratora danych osobowych. Mowa tu o zabezpieczeniu przed ujawnieniem, zniszczeniem, utratą danych osobowych, czy nieautoryzowaną modyfikacją. W związku z tym, jeden z paragrafów umowy powierzenia powinien konkretnie mówić o tym zobowiązaniu Podmiotu przetwarzającego.

Kontrola i weryfikacja

Administrator danych ma prawo do kontroli (i weryfikacji) zabezpieczeń wprowadzonych przez Podmiot przetwarzający, dlatego odpowiedni zapis powinien znaleźć się w treści umowy powierzenia. W tym miejscu warto określić termin, w jakim Administrator powinien poinformować Podmiot przetwarzający o planowej kontroli. Pozwoli to w przyszłości uniknąć problemów związanych z utrzymaniem ciągłości działania, gdy np. kilka organizacji chciałoby w tym samym czasie przeprowadzić taką kontrolę w jednej firmie informatycznej, czy w biurze księgowym. 

Warto przy tym pamiętać, że prawo do kontroli nie jest tylko uprawnieniem Administratora danych, ale jego obowiązkiem. Zgodnie z art. 28 ustęp 1 RODO Administrator danych jest zobowiązany do korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje ich ochrony. Jedną z form kontroli może być także przeprowadzenie ankiety sprawdzającej, co niewątpliwie jest mniej kosztowne i czasochłonne niż fizyczna kontrola. Jeśli potrzebujesz sprawdzonego wzoru takiej ankiety wraz z omówieniem sprawdź moją ofertę – e-book „Wszystko o powierzeniu danych + wzory”.

Upoważnienia i oświadczenia

Podobnie jak w przypadku Administratora danych osobowych, Podmiot przetwarzający jest zobowiązany wydać odpowiednie upoważnienia do przetwarzania danych, zebrać oświadczenia i prowadzić rejestr osób upoważnionych do danych, które w naszym imieniu przetwarza. Jeśli ten temat Cię interesuje to polecam Ci mój artykuł, w którym o upoważnieniach pisałam szerzej tutaj.

Naruszenie

Warto w umowie powierzenia zawrzeć zapis o tym, w jakim terminie Podmiot przetwarzający poinformuje Administratora danych o zaistniałym naruszeniu bezpieczeństwa przetwarzanych danych osobowych. To o tyle istotne, że Administrator Danych zobowiązany jest zgłosić takie naruszenie do organu nadzorczego (PUODO) w ciągu 72 godzin od momentu jego stwierdzenia. Tym samym należy przewidzieć w umowie odpowiednio wcześniejszy termin na powiadomienie Administratora przez Podmiot przetwarzający.

Podpowierzenie

Podmiot, któremu powierza się dane może, w pewnych sytuacjach mieć potrzebę powierzyć te dane dalej, kolejnemu podmiotowi. Taką sytuację nazywamy podpowierzeniem. Jest ona dozwolona, ale pod pewnymi warunkami. Przede wszystkim umowa powierzenia powinna zawierać paragraf, który mówi o podpowierzeniu, np. Podmiot przetwarzający nie może podpowierzać powierzonych danych bez uprzedniej zgody Administratora. Kolejny warunek to konieczność podpowierzenia. Korzystanie z usług podmiotu, któremu Podmiot przetwarzający powierzy dalsze przetwarzanie musi być wyraźnie związane z głównym przedmiotem usługi. Takim przykładem może być biuro księgowe, które powierza dalsze przetwarzanie danych Twoich klientów, czy pracowników firmie, która opiekuje się systemem informatycznym, w którym są przetwarzane.

Odpowiedzialność

Pełną odpowiedzialność za przetwarzane dane osobowe ponosi Administrator danych. Z kolei Podmiot przetwarzający, czyli Zleceniobiorca w przypadku nałożenia kary przez PUODO na Administratora danych także może ponieść konsekwencje, jeśli to on przyczynił się do niezgodności lub naruszenia bezpieczeństwa danych.

Poufność umowy

Umowa powinna także zawierać informację, że wszelkie informacje udostępnione w toku wykonania umowy powierzenia są poufne i nie wolno ich ujawniać.

Pamiętaj, aby umowę powierzenia podpisać przed przekazaniem danych osobowych.

Jak w przypadku każdej umowy, umowę powierzenia danych firmie zewnętrznej należy przygotować w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron. Wszelkie zmiany do umowy należy, rzecz jasna, aneksować. Oczywiście, jeśli to potrzebne, do umowy można dodać załączniki (np. wykaz podwykonawców, wobec których jest zgoda na podpowierzenie). Bardzo istotne jest, aby umowę powierzenia podpisać przed przekazaniem danych osobowych.

Warto wiedzieć, że umowy powierzenia nie trzeba podpisywać z podmiotami i instytucjami, które mogą otrzymywać dane osobowe od Administratora danych na podstawie przepisów prawa (np. ZUS, Urząd Skarbowy, komornik, Policja, Prokuratura, etc.), ponieważ w tym przypadku mamy do czynienia z udostępnieniem danych osobowych, a nie ich powierzeniem.

Administrator Danych zobowiązany jest zgłosić naruszenie do organu nadzorczego w ciągu 72 godzin od momentu jego stwierdzenia.

 

 

A czy Twoja firma jest już gotowa na RODO? 

Zapoznaj się ze szczegółami mojego autorskiego kursu online, który dostarczy Ci nie tylko niezbędnej wiedzy w pigułce, ale i zapewni wszystkie wzory wymaganych dokumentów, polityk i instrukcji!

CHCĘ POZNAĆ SZCZEGÓŁY KURSU!