fbpx
Zaznacz stronę

 

Umowa powierzenia umożliwia Administratorowi przekazanie danych firmie zewnętrznej.

Jeżeli Administrator Danych Osobowych przekazuje dane osobowe dalej, współpracującym z nim firmom, to zobowiązany jest zawrzeć z nimi umowę powierzenia przetwarzania danych osobowych. Jest to specjalna konstrukcja prawna, która zapewnia legalność przetwarzania danych. Umowa powierzenia umożliwia Administratorowi przekazanie danych firmie zewnętrznej, a ta firma dostaje gwarancję, że powierzone jej dane może przetwarzać. Najczęściej z umową powierzenia będziemy mieli do czynienia w przypadku korzystania z zewnętrznego biura rachunkowego, gdy przekazujemy dane pracowników lub klientów będących osobami fizycznymi do rozliczenia. A także, gdy zewnętrzna firma informatyczna opiekuje się systemem informatycznym, w którym znajdują się dane osobowe. To tylko niektóre z przypadków.

 

 

Co powinna zawierać umowa powierzenia danych osobowych?

 

Strony

 

Tworzenie umowy powiedzenia należy rozpocząć od ustalenia właściwego nazewnictwa stron. Firma czy organizacja, która jest Administratorem Danych Osobowych i przekazuje je dalej, powinna być nazwana Zleceniodawcą lub Podmiotem powierzającym. Natomiast stronę, która te dane przyjmuje w powierzenie, nazwiemy Podmiotem przetwarzającym lub Zleceniobiorcą.

 

Cel

 

Niezbędnym elementem każdej umowy powierzenia jest identyfikacja celu, w jakim dane osobowe zostają powierzone i co Zleceniobiorca może z danymi zrobić.  Musi to zostać opisane możliwie najbardziej szczegółowo.

 

Zakres

 

Należy określić szczegółowy (np. imię, nazwisko, PESEL, etc.) zakres czyli konkretne dane osobowe, które Podmiot przetwarzający otrzymuje w powierzenie od Podmiotu powierzającego.

 

Zabezpieczenia

 

Zleceniobiorca zobowiązany jest do odpowiedniego zabezpieczenia danych, które otrzymuje od Zleceniodawcy. Zasadniczo, te zabezpieczenia powinny być nie mniejsze, niż wprowadzone dotąd przez Administratora Danych Osobowych. Mowa tu o zabezpieczeniu przed ujawnieniem,  zniszczeniem i utratą danych osobowych. W związku z tym, jeden z paragrafów umowy powierzenia powinien konkretnie mówić o tym zobowiązaniu Podmiotu przetwarzającego.

 

Upoważnienia i oświadczenia

 

Podobnie jak w przypadku Administratora Danych Osobowych, Podmiot przetwarzający powierzone przez nas dane zobowiązany jest wydać odpowiednie upoważnienia, zebrać oświadczenia i prowadzić rejestr osób upoważnionych do danych, które w naszym imieniu teraz przetwarza.

 

 

Administrator Danych zobowiązany jest zgłosić naruszenie do organu nadzorczego w ciągu 72 godzin od momentu jego stwierdzenia.

 

 

 

 

Naruszenie

 

Warto w umowie powierzenia zawrzeć zapis o tym, w jakim terminie Zleceniobiorca poinformuje Zleceniodawcę o zaistniałym naruszeniu bezpieczeństwa przetwarzanych danych osobowych. To o tyle istotne, że Administrator Danych zobowiązany jest zgłosić takie naruszenie do organu nadzorczego (GIODO, a później PUODO) w ciągu 72 godzin od momentu jego stwierdzenia.

 

Kontrola i weryfikacja

 

 

Zleceniodawca ma prawo do kontroli.

Zleceniodawca ma prawo do kontroli (i weryfikacji) zabezpieczeń wprowadzonych przez Zleceniobiorcę, dlatego odpowiedni zapis powinien znaleźć się w treści umowy powierzenia. W tym miejscu warto określić termin, w jakim Zleceniodawca powinien poinformować Zleceniobiorcę o planowej kontroli.

 

 

Podpowierzenie

 

Podmiot, któremu powierza się dane może, w pewnych sytuacjach (np. biuro księgowe przekazuje dane swoich klientów firmie, która dostarcza mu program informatyczny), mieć potrzebę powierzyć te dane dalej, kolejnemu podmiotowi. Taką sytuację nazywamy podpowierzeniem. Umowa powierzenia powinna zatem zawierać paragraf, który mówi, że Zleceniobiorca nie może podpowierzać powierzonych danych dalej, bez uprzedniej zgody Zleceniodawcy.

 

Odpowiedzialność

 

Umowa powierzenia powinna mówić, że pełną odpowiedzialność za przetwarzane dane osobowe ponosi Podmiot przetwarzający, czyli Zleceniobiorca. Czyli, na przykład, w przypadku nałożenia kary przez GIODO na Administratora danych powierzonych dalej, to Zleceniobiorca poniesie jej konsekwencje.

 

Poufność umowy

 

Umowa powinna także zawierać informację, że wszelkie informacje udostępnione w toku wykonania umowy powierzenia są poufne i nie wolno ich ujawniać.

 

 

Pamiętaj, aby umowę powierzenia podpisać przed przekazaniem danych osobowych.

 

 

 

Jak w przypadku każdej umowy, umowę powierzenia danych firmie zewnętrznej należy przygotować w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron. Wszelkie zmiany do umowy należy, rzecz jasna, aneksować. Oczywiście, jeśli to potrzebne, do umowy można dodać załączniki (np. wykaz podwykonawców, wobec których jest zgoda na podpowierzenie). Bardzo istotne jest, aby umowę powierzenia podpisać przed przekazaniem danych osobowych.

 

Należy mieć świadomość, że umowy powierzenia nie trzeba podpisywać z podmiotami i instytucjami, które mogą otrzymywać dane osobowe od Administratora Danych na podstawie przepisów prawa (np. ZUS, Urząd Skarbowy, komornik, Policja, Prokuratura, etc.), ponieważ w tym przypadku mamy do czynienia z udostępnieniem danych osobowych, a nie ich powierzeniem.

 

 

 

A czy Twoja firma jest już gotowa na RODO? 

 

Zapoznaj się ze szczegółami mojego autorskiego kursu online, który dostarczy Ci nie tylko niezbędnej wiedzy w pigułce, ale i zapewni wszystkie wzory wymaganych dokumentów, polityk i instrukcji!

 

CHCĘ POZNAĆ SZCZEGÓŁY KURSU!