Kiedy należy zawrzeć umowę powierzenia przetwarzania danych?

W Roz­po­rzą­dze­niu Par­la­men­tu Euro­pej­skie­go i Rady (UE) 2016/679, zna­nym rów­nież jako „RODO” usta­wo­daw­ca euro­pej­ski wpro­wa­dził wymóg zawie­ra­nia umów powie­rze­nia pomię­dzy admi­ni­stra­to­ra­mi a pod­mio­ta­mi prze­twa­rza­ją­cy­mi. Niniej­szym arty­kuł ma na celu dopre­cy­zo­wa­nie, kie­dy przed­się­bior­ca jest zobo­wią­za­ny do zawar­cia umo­wy powie­rze­nia prze­twa­rza­nia danych osobowych.

Administrator 

Za admi­ni­stra­to­ra uzna­je się pod­miot, któ­ry usta­la cele oraz spo­so­by prze­twa­rza­nia danych osobowych.

Admi­ni­stra­to­rem może być m. in.:

1. oso­ba fizycz­na pro­wa­dzą­ca dzia­łal­ność gospodarczą;
2. oso­ba praw­na (np. spół­ka z ogra­ni­czo­ną odpo­wie­dzial­no­ścią, spół­ka akcyjna).

Za admi­ni­stra­to­ra będzie uwa­ża­na oso­ba (lub inny pod­miot), któ­ra decy­du­je o celach i środ­kach prze­twa­rza­nia danych osobowych. 

Za admi­ni­stra­to­ra uznać moż­na m. in.:

1. przed­się­bior­cę w zakre­sie danych oso­bo­wy­mi swo­ich klientów;
2. pra­co­daw­cę dys­po­nu­ją­ce­go dany­mi oso­bo­wy­mi swo­ich pracowników;
3. sto­wa­rzy­sze­nie dys­po­nu­ją­ce dany­mi swo­ich człon­ków itp.

Podmiot przetwarzający

Pod­mio­tem prze­twa­rza­ją­cym jest oso­ba fizycz­na lub praw­na, któ­ra prze­twa­rza dane oso­bo­we w imie­niu admi­ni­stra­to­ra (np. usłu­gi w zakre­sie księ­go­wo­ści świad­czo­ne przez pod­miot zewnętrz­ny na rzecz przedsiębiorcy).

Prze­pi­sy Roz­po­rzą­dze­nia wyma­ga­ją, aby admi­ni­stra­tor korzy­stał wyłącz­nie z usług takich pod­mio­tów prze­twa­rza­ją­cych, któ­rzy zapew­nia­ją wystar­cza­ją­ce gwa­ran­cje wdro­że­nia środ­ków tech­nicz­nych i orga­ni­za­cyj­nych odpo­wied­nich do danych, jakie są u nich przetwarzane.

Podstawa przetwarzania danych osobowych przez podmiot przetwarzający

Pod­sta­wą prze­twa­rza­nia danych oso­bo­wych przez pod­miot prze­twa­rza­ją­cy jest:

1. umo­wa;
2. inny instru­ment praw­ny, prze­wi­dzia­ny przez prze­pi­sy pra­wa Unii Euro­pej­skiej bądź prze­pi­sy pań­stwa członkowskiego.

Umowa powierzenia

Umo­wa powie­rze­nia zawie­ra­na pomię­dzy admi­ni­stra­to­rem a pod­mio­tem prze­twa­rza­ją­cym win­na określać:

1. przed­miot i czas trwa­nia przetwarzania, 
2. cha­rak­ter przetwarzania;
3. cel prze­twa­rza­nia;
4. rodzaj danych osobowych;
5. kate­go­rie osób, któ­re dane dotyczą
6. obo­wiąz­ki i pra­wa administratora;
7. obo­wiąz­ki pod­mio­tu przetwarzającego.

Obowiązki podmiotu przetwarzającego

W umo­wie powie­rze­nia stro­ny powin­ny zawrzeć nastę­pu­ją­ce obo­wiąz­ki, jakie cią­żą na pod­mio­cie prze­twa­rza­ją­cym, a mianowicie:

1. prze­twa­rza­nie przez ten pod­miot danych oso­bo­wych nastę­pu­je na udo­ku­men­to­wa­ne pole­ce­nie administratora;
2. dostęp do danych będą mia­ły wyłącz­nie oso­by upo­waż­nio­ne, po uprzed­nim zobo­wią­za­niu się przez nie do zacho­wa­nia tajemnicy;
3. poma­ga admi­ni­stra­to­ro­wi w wywią­za­niu się z obo­wiąz­ków na nim spo­czy­wa­ją­cych (np. odpo­wie­dzi na żąda­nia osób, któ­rych dane dotyczą);
4. pro­wa­dzi rejestr kate­go­rii czyn­no­ści prze­twa­rza­nia – jeże­li jest on wymagany;
5. usu­wa lub zwra­ca admi­ni­stra­to­ro­wi dane oso­bo­we oraz usu­wa wszel­kie ich ist­nie­ją­ce kopie – na żąda­nie administratora;
6. umoż­li­wia prze­pro­wa­dze­nie audy­tów itp.

Forma umowy powierzenia

Umo­wa powie­rze­nia prze­twa­rza­nia danych oso­bo­wych może mieć for­mę pisem­ną. RODO pre­cy­zu­je przy tym, że za for­mę pisem­ną uzna­wa­na jest rów­nież for­ma elektroniczna.

Podsumowanie

Pod­mio­ty prze­twa­rza­ją­ce to pod­mio­ty, któ­re te dane na zle­ce­nie admi­ni­stra­to­rów. War­to pod­kre­ślić jest, iż zamiesz­cza­nie danych w bazach innych pod­mio­tów, a w tym na ich ser­we­rach (np. tzw. chmu­ry) rów­nież sta­no­wi powie­rze­nie prze­twa­rza­nia danych oso­bo­wych. Admi­ni­stra­tor musi zatem zapew­nić, aby powie­rze­nie danych, któ­re prze­twa­rza odby­ło się na pod­sta­wie pisem­nej umo­wy bądź na pod­sta­wie inne­go instru­men­tu praw­ne­go zawar­te­go w for­mie pisem­nej z pod­mio­tem dają­cym rękoj­mię wdro­że­nia odpo­wied­nich środ­ków zabez­pie­cza­ją­cych przed ich naru­sze­niem (np. wycie­kiem informacji).

Powrót do spe­cja­li­za­cji — Szko­le­nie RODO