Umowa powierzenia przetwarzania danych osobowych. Wzór umowy do pobrania!
Dane osobowe to informacje umożliwiające identyfikację osoby fizycznej, takie jak imię, nazwisko czy adres e-mail. Ochrona tych danych jest niezwykle ważna i reguluje ją przepisy RODO, które mają na celu zapewnienie ochrony osób fizycznych w związku z ich przetwarzaniem. W przypadku, gdy administrator danych osobowych powierza przetwarzanie tych danych zewnętrznemu podmiotowi, np. firmie świadczącej usługi marketingowe, konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych, aby zapewnić zgodność z przepisami RODO.
Obowiązujące rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: RODO) ma celu ochronę osób fizycznych w związku z przetwarzaniem danych osobowych, która określana jest skrótowo mianem ochrony danych osobowych.
Oznacza to, że istotą regulacji powołanego rozporządzenia jest ochrona każdej osoby fizycznej przed negatywnymi konsekwencjami wynikającymi z nieprawidłowego przetwarzania danych. Dlatego też wśród szeregu przepisów RODO prawodawca przewidział m.in. konieczność zawarcia umowy powierzenia przetwarzania danych osobowych, w przypadku gdy przetwarzanie dokonywane przez podmiot przetwarzający jest w imieniu i na zlecenie administratora danych osobowych.
Zgodnie z przepisem art. 4 pkt 1 RODO, dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („osobie, której dane dotyczą”). Osoba fizyczna jest uznawana za możliwą do zidentyfikowania, jeśli można ją bezpośrednio lub pośrednio zidentyfikować, na przykład na podstawie identyfikatora takiego jak imię, nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy, bądź innych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby. Oznacza to, że każda informacja, która może prowadzić do identyfikacji danej osoby, jest traktowana jako dane osobowe, podlegające ochronie na mocy RODO.
WAŻNE – dane osobowe obejmują wszelkie informacje, które pozwalają zidentyfikować osobę fizyczną, takie jak imię, nazwisko, adres e-mail, numer identyfikacyjny, a także dane o lokalizacji czy identyfikatory internetowe. Przepisy RODO szczególnie chronią dane wrażliwe, takie jak dane genetyczne, dane zdrowotne czy biometryczne, które wymagają szczególnej ochrony z powodu ryzyka, jakie ich przetwarzanie może stwarzać dla podstawowych praw i wolności osób fizycznych.
Dodatkowo, jeśli chodzi o przetwarzanie danych osobowych, ważne jest, że fotografie, o ile nie są przetwarzane specjalnymi metodami technicznymi pozwalającymi na jednoznaczną identyfikację osoby, nie są traktowane jako dane biometryczne. Przepisy RODO wprowadzają również podział na dane zwykłe, takie jak imię, adres e-mail czy numer telefonu, oraz dane szczególne (wrażliwe), takie jak pochodzenie rasowe, poglądy polityczne, dane genetyczne czy zdrowotne. Przetwarzanie tych danych wymaga szczególnej ostrożności i zgody osoby, której dane dotyczą, w przypadku przetwarzania wrażliwych informacji.
KATEGORIA DANYCH OSOBOWYCH
OPIS
DANE GENETYCZNE
dotyczą odziedziczonych lub nabytych cech genetycznych osoby fizycznej, uzyskane z analizy próbki biologicznej
DANE O STANIE ZDROWIA
obejmuje informacje o przeszłym, obecnym lub przyszłym stanie fizycznym lub psychicznym zdrowia, w tym informacje medyczne, historie chorób, leczenie
DANE WRAŻLIWE
wymagają szczególnej ochrony, np. dane ujawniające pochodzenie rasowe, etniczne, poglądy polityczne, religijne, dane genetyczne, biometryczne, zdrowotne
FOTOGRAFIE
nie zawsze stanowią dane biometryczne, chyba że są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby
obejmuje: pochodzenie rasowe, poglądy polityczne, dane genetyczne, biometryczne, dane zdrowotne, dotyczące seksualności, wyroków skazujących
Jeśli chcesz wiedzieć na czym polega sprostowanie i usuwanie danych osobowych zgodnie z RODO, to przeczytaj ten artykuł.
Czym jest przetwarzanie danych osobowych?
Zgodnie z definicją zawartą w RODO, przetwarzanie danych osobowych oznacza operację lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany.
Przykładowe operacje obejmują:
zbieranie;
utrwalanie;
organizowanie;
porządkowanie;
przechowywanie;
adaptowanie lub modyfikowanie;
pobieranie;
przeglądanie;
wykorzystywanie;
ujawnianie (np. przesyłanie, rozpowszechnianie lub udostępnianie);
dopasowywanie lub łączenie;
ograniczanie;
usuwanie;
niszczenie.
Natomiast “ograniczenie przetwarzania” to operacja polegająca na oznaczeniu przechowywanych danych osobowych w taki sposób, aby ograniczyć ich dalsze przetwarzanie, np. w przypadku sytuacji, gdy przetwarzanie danych jest kontestowane lub czasowo wstrzymane, ale nie zostaną one usunięte.
Z kolei przepis art. 6 RODO reguluje zgodność przetwarzania danych osobowych z prawem. Tym samym, aby przetwarzanie danych osobowych było uznane za zgodne z prawem, to musi zostać spełniony przynajmniej jeden z określonych warunków:
ZGODA OSOBY, KTÓREJ DANE DOTYCZĄ – osoba wyraża zgodę na przetwarzanie swoich danych w jednym lub kilku określonych celach;
WYKONANIE UMOWY – przetwarzanie jest konieczne do realizacji umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań przed zawarciem umowy na jej żądanie;
OBOWIĄZEK PRAWNY – przetwarzanie jest konieczne do spełnienia obowiązku prawnego, który spoczywa na administratorze danych;
OCHRONA ŻYWOTNYCH INTERESÓW – przetwarzanie jest konieczne do ochrony życia osoby, której dane dotyczą, lub innej osoby;
INTERES PUBLICZNY – przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej;
PRAWNIE UZASADNIONY INTERES – przetwarzanie jest konieczne do realizacji prawnie uzasadnionych interesów administratora lub strony trzeciej, pod warunkiem, że nie koliduje to z interesami osoby, której dane dotyczą, zwłaszcza jeśli ta osoba jest dzieckiem.
Tym samym administrator danych może przetwarzać dane osobowe tylko wtedy, gdy ma konkretną podstawę prawną do tego, taką jak zgoda osoby, wykonanie umowy, obowiązki prawne czy interesy publiczne.
Więcej na temat przetwarzania danych osobowych przeczytasz w tym artykule.
Kto i komu może powierzyć przetwarzanie danych osobowych?
W przepisie art. 28 RODO uregulowano kwestię związaną z podmiotem przetwarzającym, z którego wynika, iż:
administrator danych osobowych ma obowiązek korzystać wyłącznie z usług podmiotów przetwarzających, które zapewniają odpowiednie środki ochrony danych osobowych i gwarantują, że przetwarzanie spełnia wymagania RODO;
podmiot przetwarzający może korzystać z usług innych podmiotów przetwarzających tylko po uzyskaniu pisemnej zgody administratora (jeżeli podmiot przetwarzający zdecyduje się na współpracę z innym podmiotem, musi poinformować administratora o zamierzonych zmianach i umożliwić wyrażenie sprzeciwu);
wszystkie czynności przetwarzania muszą odbywać się na podstawie umowy, która określa m.in. przedmiot i czas trwania przetwarzania, cel i charakter przetwarzania, rodzaj danych osobowych oraz obowiązki stron. umowa ta ma także na celu zapewnienie, że podmiot przetwarzający będzie przestrzegał wszystkich zobowiązań wynikających z RODO, takich jak obowiązek zabezpieczenia danych, zapewnienia odpowiednich środków technicznych i organizacyjnych, czy wsparcie administratora w realizacji praw osób, których dane dotyczą;
podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, ma obowiązek pomagać administratorowi w realizacji obowiązków związanych z odpowiedzią na żądania osób, których dane dotyczą, oraz w wywiązywaniu się z innych zobowiązań wynikających z przepisów RODO;
po zakończeniu świadczenia usług związanych z przetwarzaniem danych osobowych, podmiot przetwarzający ma obowiązek usunąć lub zwrócić wszystkie dane osobowe administratorowi, chyba że prawo nakazuje ich przechowywanie;
podmiot przetwarzający musi umożliwić administratorowi przeprowadzanie audytów i inspekcji w celu weryfikacji przestrzegania postanowień umowy oraz wymogów ochrony danych;
podmiot przetwarzający może wykazać, że przestrzega wymogów ochrony danych np. poprzez stosowanie zatwierdzonego kodeksu postępowania lub mechanizmu certyfikacji;
w przypadku, gdy podmiot przetwarzający naruszy przepisy dotyczące ustalania celów i sposobów przetwarzania, może zostać uznany za administratora w odniesieniu do tych danych.
WAŻNE – administrator danych osobowych ma prawo powierzyć przetwarzanie danych innemu podmiotowi, zwanym podmiotem przetwarzającym. Kluczowe jest, że administrator musi wybrać taki podmiot, który zapewnia odpowiednie gwarancje ochrony danych, czyli wdrożenie wystarczających środków technicznych i organizacyjnych, aby przetwarzanie danych było zgodne z wymogami RODO i chroniło prawa osób, których dane dotyczą. Powierzenie przetwarzania jest zlecane przez administratora wybranemu profesjonalnemu podmiotowi w zakresie dokonania określonych czynności przetwarzania.
Kim jest administrator danych osobowych?
W przepisie art. 4 ust. 7 RODO wskazano m.in., że administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Kim jest podmiot przetwarzający dane osobowe?
Zgodnie z definicją legalną zawartą w art. 4 pkt 8 RODO, takim podmiotem może być osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Co oznaczają określone w art. 28 ust. 1 RODO gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych przez podmiot przetwarzający?
Zdaje się, że prawodawca miał na celu skłonienie administratora do wyboru profesjonalnego, przeszkolonego podmiotu, który nie tylko posiadać będzie odpowiednią wiedzę fachową do przetwarzania danych, ale dodatkowo będzie posiadać możliwości techniczne zapewniające odpowiedni poziom ochrony danych.
WAŻNE – stronami umowy powierzenia przetwarzania danych osobowych są administrator danych publicznych i podmiot przetwarzający.
Dalsze powierzenie przetwarzania danych osobowych
Przepis art. 28 ust. 3 RODO stanowi, iż „Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający (…)”.
Z powyższego przepisu wynika, że przetwarzanie danych osobowych przez podmiot przetwarzający musi odbywać się na podstawie odpowiedniej umowy lub innego instrumentu prawnego, który reguluje szczegółowe zasady współpracy między administratorem danych a podmiotem przetwarzającym. Zatem stronami umowy powierzenia przetwarzania danych osobowych są administrator danych publicznych i podmiot przetwarzający.
Jednakże koncentrując się na umowie przetwarzania danych, należy podkreślić, że jest ona niczym innym jak pisemnym określeniem wytycznych w zakresie relacji zachodzących pomiędzy administratorem danych osobowych a podmiotem przetwarzającym dane.
W piśmiennictwie wskazuje się, że „Umowa powierzenia przetwarzania danych osobowych dotyczy zarówno interesu prywatnego, którym jest zapewnienie gwarancji prawa do ochrony danych osobowych jako sfery prawa do prywatności, jak również interesu publicznego, jakim jest zagwarantowanie szeroko rozumianego bezpieczeństwa informacji oraz pewności obrotu” [por. M. Czech, Umowa powierzenia przetwarzania danych osobowych jako instrument ich ochrony, Uniwersytet w Białymstoku, Białystok 2019].
Co więcej taka umowa powinna regulować kwestie takie jak:
ZAKRES I CZAS TRWANIA PRZETWARZANIA – czyli określenie, co dokładnie będzie przetwarzane oraz przez jaki okres podmiot przetwarzający będzie się tym zajmować;
CHARAKTER I CEL PRZETWARZANIA – czyli wyjaśnienie, w jakim celu dane będą przetwarzane i jakie działania będą wykonywane w związku z tym przetwarzaniem;
RODZAJ DANYCH OSOBOWYCH ORAZ KATEGORIE OSÓB, KTÓRYCH DANE dotyczą – wskazanie, jakie dane będą przetwarzane (np. dane kontaktowe, dane wrażliwe) oraz które osoby będą dotknięte tym przetwarzaniem;
OBOWIĄZKI I PRAWA ADMINISTRATORA DANYCH – precyzuje, jakie są obowiązki administratora w stosunku do podmiotu przetwarzającego, w tym np. nadzór nad przetwarzaniem oraz zapewnienie zgodności z przepisami ochrony danych osobowych.
WAŻNE – dla celów dowodowych umowa powierzenia przetwarzania danych osobowych powinna być zawarta w formie pisemnej, jednakże przepisy nie zabraniają zawarcia takiej umowy w formie elektronicznej.
Obowiązki podmiotu przetwarzającego wynikające z umowy powierzenia przetwarzania danych osobowych
Wśród obowiązków podmiotu przetwarzającego, które powinny być wskazane w umowie, wyróżnia się powinności w postaci:
przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora (dotyczy to również przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej),
zapewnienia, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
podejmowania wszelkich środków wymaganych w przepisie art. 32 RODO dotyczącym bezpieczeństwa danych osobowych,
przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego, tj. z uwzględnieniem wymogów związanych z dalszym powierzeniem przetwarzania danych,
udzielania pomocy administratorowi w wypełnianiu obowiązków m.in. związanych z realizacją żądań osób, których dane są przetwarzane (określonych w rozdziale III RODO) bądź zabezpieczeniem danych czy ich zgłaszaniem,
usunięcia lub zwrotu administratorowi wszelkich danych osobowych oraz usunięcia ich kopii po zakończeniu świadczenia usług związanych z przetwarzaniem danych (zgodnie z decyzją administratora),
udostępnienia administratorowi wszelkich informacji dotyczących przetwarzania danych w ramach zawartej umowy powierzenia oraz umożliwienia (administratorowi lub audytorowi) przeprowadzania audytów w zakresie realizacji tej umowy.
Podsumowanie
Mając na uwadze fakt, iż powierzenie przetwarzania danych coraz częściej zachodzi w procesach gospodarczych, gdzie administratorzy nawiązują „współpracę” z wyspecjalizowanymi podmiotami, istotne staje się posiadanie szczególnej wiedzy na temat konieczności zawarcia specjalnej umowy jaką jest umowa powierzenia przetwarzania danych osobowych. Przepisy RODO określają wymogi w zakresie treści samej umowy jak i nakładają szereg obowiązków spoczywających po stronie podmiotu przetwarzającego.
Należy pamiętać, że już samo wydanie zlecenia przez administratora wykonywania swoich obowiązków związanych z przetwarzaniem danych osobowych na inny podmiot rodzi konieczność zawarcia przez obie strony takiej umowy. Brak istnienia w obrocie prawnym takiego dokumentu bądź uchybienie jego warunkom może skutkować nałożeniem kary pieniężnej za naruszenie przepisów RODO.
Źródła:
M. Czech, Umowa powierzenia przetwarzania danych osobowych jako instrument ich ochrony, Uniwersytet w Białymstoku, Białystok 2019
P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 28.
Autorka tekstów prawnych na ifirma.pl. Prawnik posiadająca wieloletnie doświadczenie w doradztwie prawnym oraz podatkowym. Na co dzień swoją wiedzę i doświadczenie poszerza dzięki pracy jako specjalista do spraw prawnych, a czas wolny poświęca na podnoszeniu kwalifikacji w zakresie aspektów prawnych w e-commerce i social mediach oraz szeroko pojętym prawie autorskim.
Zachęcamy do komentowania naszych artykułów. Wyraź swoje zdanie i włącz się w dyskusje z innymi czytelnikami. Na indywidualne pytania (z zakresu podatków i księgowości) użytkowników ifirma.pl odpowiadamy przez e-mail, czat lub telefon – skontaktuj się z nami.
Administratorem Twoich danych osobowych jest IFIRMA S.A. z siedzibą we Wrocławiu. Dodając komentarz na blogu, przekazujesz nam swoje dane: imię i nazwisko, adres e-mail oraz treść komentarza. W systemie odnotowywany jest także adres IP, z wykorzystaniem którego dodałeś komentarz. Dane zostają zapisane w bazie systemu WordPress. Twoje dane są przetwarzane na podstawie Twojej zgody, wynikającej z dodania komentarza. Dane są przetwarzane w celu opublikowania komentarza na blogu, jak również w celu obrony lub dochodzenia roszczeń. Dane w bazie systemu WordPress są w niej przechowywane przez okres funkcjonowania bloga.
O szczegółach przetwarzania danych przez IFIRMA S.A dowiesz się ze strony polityki prywatności serwisu ifirma.pl.
Aktualizacja unijnej klasyfikacji NACE wymusza zmianę dotychczasowej Polskiej Klasyfikacji Działalności, czyli zmianę PKD 2007 na PKD 2025. Sprawdź, jakie zmiany czekają w kodach PKD od 2025 roku!
Podcast to świetne narzędzie, które można umiejętnie wykorzystać do promowania własnej marki. Ten specyficzny kanał przekazu wymaga jednak posiadania sporej wiedzy zarówno w kwestiach merytorycznych, jak i technicznych. Materiał audio musi posiadać przystępną formę, mieć ekspercki wydźwięk i charakteryzować się dobrą jakością.
Nowości/ulepszenia: data zmiana 29.01.2025 Rozbudowa i usprawnienia dla metody kasowej PIT (zobacz instrukcję) Powiązanie transakcji bankowych z fakturami podczas wystawiania faktury (szczegółowa instrukcja) Raport przychodów wg metody płatności Wydruk danych osobowych pracownika Kolejne faktury rozliczane kasowo – wysyłkowa, budowlana, do szczególnej metody kasowej E-commerce: Statusy zwrotów Asystent pakowania i zbierania zamówień Strona z formularzem zwrotów […]
Zastanawiasz się jak rozliczyć samochód elektryczny w firmie oraz czy stacja ładowania samochodu elektrycznego może stanowić środek trwały? W takim razie zapraszamy do lektury naszego artykułu.
Klauzula informacyjna –
kontakt
telefoniczny marketing
Jeżeli wyrazisz zgodę, zadzwonimy do Ciebie, aby przybliżyć Ci naszą
ofertę. Wyrażoną zgodę możesz wycofać w dowolnym momencie, wysyłając
wiadomość e-mail na adres iod@ifirma.pl. Administratorem Twoich
danych
osobowych będzie IFIRMA SA z siedzibą we Wrocławiu przy ul.
Grabiszyńskiej 241G, 53-234 Wrocław. Więcej o tym, jak chronimy
Twoje
dane dowiesz się na stronie: https://www.ifirma.pl/rodo