|
|
8 minut czytania

Umowa powierzenia przetwarzania danych osobowych. Wzór umowy do pobrania!

Dane osobowe to informacje umożliwiające identyfikację osoby fizycznej, takie jak imię, nazwisko czy adres e-mail. Ochrona tych danych jest niezwykle ważna i reguluje ją przepisy RODO, które mają na celu zapewnienie ochrony osób fizycznych w związku z ich przetwarzaniem. W przypadku, gdy administrator danych osobowych powierza przetwarzanie tych danych zewnętrznemu podmiotowi, np. firmie świadczącej usługi marketingowe, konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych, aby zapewnić zgodność z przepisami RODO.

Umowa powierzenia przetwarzania danych osobowych

Umowa powierzenia przetwarzania danych osobowych – omówione zagadnienia:

Pokaż więcej ↓

Zmiana formy opodatkowania 2025 – jaka forma opodatkowania jest najlepsza dla firmy jednoosobowej?

Sprawdź również nasz materiał na Youtube:

 

Czym są dane osobowe?

Obowiązujące rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: RODO) ma celu ochronę osób fizycznych w związku z przetwarzaniem danych osobowych, która określana jest skrótowo mianem ochrony danych osobowych.

Oznacza to, że istotą regulacji powołanego rozporządzenia jest ochrona każdej osoby fizycznej przed negatywnymi konsekwencjami wynikającymi z nieprawidłowego przetwarzania danych. Dlatego też wśród szeregu przepisów RODO prawodawca przewidział m.in. konieczność zawarcia umowy powierzenia przetwarzania danych osobowych, w przypadku gdy przetwarzanie dokonywane przez podmiot przetwarzający jest w imieniu i na zlecenie administratora danych osobowych.

Zgodnie z przepisem art. 4 pkt 1 RODO, dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („osobie, której dane dotyczą”). Osoba fizyczna jest uznawana za możliwą do zidentyfikowania, jeśli można ją bezpośrednio lub pośrednio zidentyfikować, na przykład na podstawie identyfikatora takiego jak imię, nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy, bądź innych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby. Oznacza to, że każda informacja, która może prowadzić do identyfikacji danej osoby, jest traktowana jako dane osobowe, podlegające ochronie na mocy RODO.

WAŻNE – dane osobowe obejmują wszelkie informacje, które pozwalają zidentyfikować osobę fizyczną, takie jak imię, nazwisko, adres e-mail, numer identyfikacyjny, a także dane o lokalizacji czy identyfikatory internetowe. Przepisy RODO szczególnie chronią dane wrażliwe, takie jak dane genetyczne, dane zdrowotne czy biometryczne, które wymagają szczególnej ochrony z powodu ryzyka, jakie ich przetwarzanie może stwarzać dla podstawowych praw i wolności osób fizycznych.

Dodatkowo, jeśli chodzi o przetwarzanie danych osobowych, ważne jest, że fotografie, o ile nie są przetwarzane specjalnymi metodami technicznymi pozwalającymi na jednoznaczną identyfikację osoby, nie są traktowane jako dane biometryczne. Przepisy RODO wprowadzają również podział na dane zwykłe, takie jak imię, adres e-mail czy numer telefonu, oraz dane szczególne (wrażliwe), takie jak pochodzenie rasowe, poglądy polityczne, dane genetyczne czy zdrowotne. Przetwarzanie tych danych wymaga szczególnej ostrożności i zgody osoby, której dane dotyczą, w przypadku przetwarzania wrażliwych informacji.

Jeśli chcesz wiedzieć na czym polega sprostowanie i usuwanie danych osobowych zgodnie z RODO, to przeczytaj ten artykuł.

Czym jest przetwarzanie danych osobowych?

Zgodnie z definicją zawartą w RODO, przetwarzanie danych osobowych oznacza operację lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany.

Przykładowe operacje obejmują:

  • zbieranie;
  • utrwalanie;
  • organizowanie;
  • porządkowanie;
  • przechowywanie;
  • adaptowanie lub modyfikowanie;
  • pobieranie;
  • przeglądanie;
  • wykorzystywanie;
  • ujawnianie (np. przesyłanie, rozpowszechnianie lub udostępnianie);
  • dopasowywanie lub łączenie;
  • ograniczanie;
  • usuwanie;
  • niszczenie.

Natomiast “ograniczenie przetwarzania” to operacja polegająca na oznaczeniu przechowywanych danych osobowych w taki sposób, aby ograniczyć ich dalsze przetwarzanie, np. w przypadku sytuacji, gdy przetwarzanie danych jest kontestowane lub czasowo wstrzymane, ale nie zostaną one usunięte.

Z kolei przepis art. 6 RODO reguluje zgodność przetwarzania danych osobowych z prawem. Tym samym, aby przetwarzanie danych osobowych było uznane za zgodne z prawem, to musi zostać spełniony przynajmniej jeden z określonych warunków:

  • ZGODA OSOBY, KTÓREJ DANE DOTYCZĄ – osoba wyraża zgodę na przetwarzanie swoich danych w jednym lub kilku określonych celach;
  • WYKONANIE UMOWY – przetwarzanie jest konieczne do realizacji umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań przed zawarciem umowy na jej żądanie;
  • OBOWIĄZEK PRAWNY – przetwarzanie jest konieczne do spełnienia obowiązku prawnego, który spoczywa na administratorze danych;
  • OCHRONA ŻYWOTNYCH INTERESÓW – przetwarzanie jest konieczne do ochrony życia osoby, której dane dotyczą, lub innej osoby;
  • INTERES PUBLICZNY – przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej;
  • PRAWNIE UZASADNIONY INTERES – przetwarzanie jest konieczne do realizacji prawnie uzasadnionych interesów administratora lub strony trzeciej, pod warunkiem, że nie koliduje to z interesami osoby, której dane dotyczą, zwłaszcza jeśli ta osoba jest dzieckiem.

Tym samym administrator danych może przetwarzać dane osobowe tylko wtedy, gdy ma konkretną podstawę prawną do tego, taką jak zgoda osoby, wykonanie umowy, obowiązki prawne czy interesy publiczne.

Więcej na temat przetwarzania danych osobowych przeczytasz w tym artykule.

Kto i komu może powierzyć przetwarzanie danych osobowych?

W przepisie art. 28 RODO uregulowano kwestię związaną z podmiotem przetwarzającym, z którego wynika, iż:

  • administrator danych osobowych ma obowiązek korzystać wyłącznie z usług podmiotów przetwarzających, które zapewniają odpowiednie środki ochrony danych osobowych i gwarantują, że przetwarzanie spełnia wymagania RODO;
  • podmiot przetwarzający może korzystać z usług innych podmiotów przetwarzających tylko po uzyskaniu pisemnej zgody administratora (jeżeli podmiot przetwarzający zdecyduje się na współpracę z innym podmiotem, musi poinformować administratora o zamierzonych zmianach i umożliwić wyrażenie sprzeciwu);
  • wszystkie czynności przetwarzania muszą odbywać się na podstawie umowy, która określa m.in. przedmiot i czas trwania przetwarzania, cel i charakter przetwarzania, rodzaj danych osobowych oraz obowiązki stron. umowa ta ma także na celu zapewnienie, że podmiot przetwarzający będzie przestrzegał wszystkich zobowiązań wynikających z RODO, takich jak obowiązek zabezpieczenia danych, zapewnienia odpowiednich środków technicznych i organizacyjnych, czy wsparcie administratora w realizacji praw osób, których dane dotyczą;
  • podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, ma obowiązek pomagać administratorowi w realizacji obowiązków związanych z odpowiedzią na żądania osób, których dane dotyczą, oraz w wywiązywaniu się z innych zobowiązań wynikających z przepisów RODO;
  • po zakończeniu świadczenia usług związanych z przetwarzaniem danych osobowych, podmiot przetwarzający ma obowiązek usunąć lub zwrócić wszystkie dane osobowe administratorowi, chyba że prawo nakazuje ich przechowywanie;
  • podmiot przetwarzający musi umożliwić administratorowi przeprowadzanie audytów i inspekcji w celu weryfikacji przestrzegania postanowień umowy oraz wymogów ochrony danych;
  • podmiot przetwarzający może wykazać, że przestrzega wymogów ochrony danych np. poprzez stosowanie zatwierdzonego kodeksu postępowania lub mechanizmu certyfikacji;
  • w przypadku, gdy podmiot przetwarzający naruszy przepisy dotyczące ustalania celów i sposobów przetwarzania, może zostać uznany za administratora w odniesieniu do tych danych.

WAŻNE – administrator danych osobowych ma prawo powierzyć przetwarzanie danych innemu podmiotowi, zwanym podmiotem przetwarzającym. Kluczowe jest, że administrator musi wybrać taki podmiot, który zapewnia odpowiednie gwarancje ochrony danych, czyli wdrożenie wystarczających środków technicznych i organizacyjnych, aby przetwarzanie danych było zgodne z wymogami RODO i chroniło prawa osób, których dane dotyczą. Powierzenie przetwarzania jest zlecane przez administratora wybranemu profesjonalnemu podmiotowi w zakresie dokonania określonych czynności przetwarzania.

Kim jest administrator danych osobowych?

W przepisie art. 4 ust. 7 RODO wskazano m.in., że administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Kim jest podmiot przetwarzający dane osobowe?

Zgodnie z definicją legalną zawartą w art. 4 pkt 8 RODO, takim podmiotem może być osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Co oznaczają określone w art. 28 ust. 1 RODO gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych przez podmiot przetwarzający?

Zdaje się, że prawodawca miał na celu skłonienie administratora do wyboru profesjonalnego, przeszkolonego podmiotu, który nie tylko posiadać będzie odpowiednią wiedzę fachową do przetwarzania danych, ale dodatkowo będzie posiadać możliwości techniczne zapewniające odpowiedni poziom ochrony danych.

Dalsze powierzenie przetwarzania danych osobowych

Przepis art. 28 ust. 3 RODO stanowi, iż „Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający (…)”.

Z powyższego przepisu wynika, że przetwarzanie danych osobowych przez podmiot przetwarzający musi odbywać się na podstawie odpowiedniej umowy lub innego instrumentu prawnego, który reguluje szczegółowe zasady współpracy między administratorem danych a podmiotem przetwarzającym. Zatem stronami umowy powierzenia przetwarzania danych osobowych są administrator danych publicznych i podmiot przetwarzający.

Jednakże koncentrując się na umowie przetwarzania danych, należy podkreślić, że jest ona niczym innym jak pisemnym określeniem wytycznych w zakresie relacji zachodzących pomiędzy administratorem danych osobowych a podmiotem przetwarzającym dane.

W piśmiennictwie wskazuje się, że „Umowa powierzenia przetwarzania danych osobowych dotyczy zarówno interesu prywatnego, którym jest zapewnienie gwarancji prawa do ochrony danych osobowych jako sfery prawa do prywatności, jak również interesu publicznego, jakim jest zagwarantowanie szeroko rozumianego bezpieczeństwa informacji oraz pewności obrotu” [por. M. Czech, Umowa powierzenia przetwarzania danych osobowych jako instrument ich ochrony, Uniwersytet w Białymstoku, Białystok 2019].

Co więcej taka umowa powinna regulować kwestie takie jak:

  • ZAKRES I CZAS TRWANIA PRZETWARZANIA – czyli określenie, co dokładnie będzie przetwarzane oraz przez jaki okres podmiot przetwarzający będzie się tym zajmować;
  • CHARAKTER I CEL PRZETWARZANIA – czyli wyjaśnienie, w jakim celu dane będą przetwarzane i jakie działania będą wykonywane w związku z tym przetwarzaniem;
  • RODZAJ DANYCH OSOBOWYCH ORAZ KATEGORIE OSÓB, KTÓRYCH DANE dotyczą – wskazanie, jakie dane będą przetwarzane (np. dane kontaktowe, dane wrażliwe) oraz które osoby będą dotknięte tym przetwarzaniem;
  • OBOWIĄZKI I PRAWA ADMINISTRATORA DANYCH – precyzuje, jakie są obowiązki administratora w stosunku do podmiotu przetwarzającego, w tym np. nadzór nad przetwarzaniem oraz zapewnienie zgodności z przepisami ochrony danych osobowych.

WAŻNE – dla celów dowodowych umowa powierzenia przetwarzania danych osobowych powinna być zawarta w formie pisemnej, jednakże przepisy nie zabraniają zawarcia takiej umowy w formie elektronicznej.

Obowiązki podmiotu przetwarzającego wynikające z umowy powierzenia przetwarzania danych osobowych

Wśród obowiązków podmiotu przetwarzającego, które powinny być wskazane w umowie, wyróżnia się powinności w postaci:

  • przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora (dotyczy to również przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej),
  • zapewnienia, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
  • podejmowania wszelkich środków wymaganych w przepisie art. 32 RODO dotyczącym bezpieczeństwa danych osobowych,
  • przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego, tj. z uwzględnieniem wymogów związanych z dalszym powierzeniem przetwarzania danych,
  • udzielania pomocy administratorowi w wypełnianiu obowiązków m.in. związanych z realizacją żądań osób, których dane są przetwarzane (określonych w rozdziale III RODO) bądź zabezpieczeniem danych czy ich zgłaszaniem,
  • usunięcia lub zwrotu administratorowi wszelkich danych osobowych oraz usunięcia ich kopii po zakończeniu świadczenia usług związanych z przetwarzaniem danych (zgodnie z decyzją administratora),
  • udostępnienia administratorowi wszelkich informacji dotyczących przetwarzania danych w ramach zawartej umowy powierzenia oraz umożliwienia (administratorowi lub audytorowi) przeprowadzania audytów w zakresie realizacji tej umowy.
Podsumowanie

Mając na uwadze fakt, iż powierzenie przetwarzania danych coraz częściej zachodzi w procesach gospodarczych, gdzie administratorzy nawiązują „współpracę” z wyspecjalizowanymi podmiotami, istotne staje się posiadanie szczególnej wiedzy na temat konieczności zawarcia specjalnej umowy jaką jest umowa powierzenia przetwarzania danych osobowych. Przepisy RODO określają wymogi w zakresie treści samej umowy jak i nakładają szereg obowiązków spoczywających po stronie podmiotu przetwarzającego.

Należy pamiętać, że już samo wydanie zlecenia przez administratora wykonywania swoich obowiązków związanych z przetwarzaniem danych osobowych na inny podmiot rodzi konieczność zawarcia przez obie strony takiej umowy. Brak istnienia w obrocie prawnym takiego dokumentu bądź uchybienie jego warunkom może skutkować nałożeniem kary pieniężnej za naruszenie przepisów RODO.

Źródła:

  1. M. Czech, Umowa powierzenia przetwarzania danych osobowych jako instrument ich ochrony, Uniwersytet w Białymstoku, Białystok 2019
  2. P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 28.

Autor ifirma.pl

Adrianna Glapiak

Autorka tekstów prawnych na ifirma.pl. Prawnik posiadająca wieloletnie doświadczenie w doradztwie prawnym oraz podatkowym. Na co dzień swoją wiedzę i doświadczenie poszerza dzięki pracy jako specjalista do spraw prawnych, a czas wolny poświęca na podnoszeniu kwalifikacji w zakresie aspektów prawnych w e-commerce i social mediach oraz szeroko pojętym prawie autorskim.

Dodaj komentarz

Zachęcamy do komentowania naszych artykułów. Wyraź swoje zdanie i włącz się w dyskusje z innymi czytelnikami. Na indywidualne pytania (z zakresu podatków i księgowości) użytkowników ifirma.pl odpowiadamy przez e-mail, czat lub telefon – skontaktuj się z nami.

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Administratorem Twoich danych osobowych jest IFIRMA S.A. z siedzibą we Wrocławiu. Dodając komentarz na blogu, przekazujesz nam swoje dane: imię i nazwisko, adres e-mail oraz treść komentarza. W systemie odnotowywany jest także adres IP, z wykorzystaniem którego dodałeś komentarz. Dane zostają zapisane w bazie systemu WordPress. Twoje dane są przetwarzane na podstawie Twojej zgody, wynikającej z dodania komentarza. Dane są przetwarzane w celu opublikowania komentarza na blogu, jak również w celu obrony lub dochodzenia roszczeń. Dane w bazie systemu WordPress są w niej przechowywane przez okres funkcjonowania bloga. O szczegółach przetwarzania danych przez IFIRMA S.A dowiesz się ze strony polityki prywatności serwisu ifirma.pl.

Może te tematy też Cię zaciekawią

Biuro rachunkowe - ifirma.pl

Mobilnie czy
stacjonarnie?

Korzystaj jak chcesz!

Zleć księgowość

Pobierz darmową aplikację mobilną

aplikacja mobilna ifirma
Napisz do nas lub zadzwoń +48 735 209 003
KATEGORIA DANYCH OSOBOWYCH OPIS
DANE GENETYCZNE dotyczą odziedziczonych lub nabytych cech genetycznych osoby fizycznej, uzyskane z analizy próbki biologicznej
DANE O STANIE ZDROWIA obejmuje informacje o przeszłym, obecnym lub przyszłym stanie fizycznym lub psychicznym zdrowia, w tym informacje medyczne, historie chorób, leczenie
DANE WRAŻLIWE wymagają szczególnej ochrony, np. dane ujawniające pochodzenie rasowe, etniczne, poglądy polityczne, religijne, dane genetyczne, biometryczne, zdrowotne
FOTOGRAFIE nie zawsze stanowią dane biometryczne, chyba że są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby
DANE ZWYKŁE przykłady: imię, nazwisko, adres zamieszkania, numer telefonu, e-mail, wykonywany zawód, wizerunek
DANE SZCZEGÓLNE (WRAŻLIWE) obejmuje: pochodzenie rasowe, poglądy polityczne, dane genetyczne, biometryczne, dane zdrowotne, dotyczące seksualności, wyroków skazujących