Oznacza to, że istotą regulacji powołanego rozporządzenia jest ochrona każdej osoby fizycznej przed negatywnymi konsekwencjami wynikającymi z nieprawidłowego przetwarzania danych. Dlatego też wśród szeregu przepisów RODO prawodawca przewidział m.in. konieczność zawarcia umowy powierzenia przetwarzania danych osobowych, w przypadku gdy przetwarzanie dokonywane przez podmiot przetwarzający jest w imieniu i na zlecenie administratora danych osobowych.

Czym jest zatem taka umowa i jakie są jej elementy? Odpowiedź znajdziesz w niniejszym artykule, a więcej na temat samego RODO tutaj.

Czym jest umowa powierzenia przetwarzania danych osobowych?

Przepis art. 28 RODO reguluje zagadnienia dotyczące powierzenia przez administratora danych osobowych przetwarzania tych danych innemu podmiotowi, z kolei ustęp 3 analizowanego przepisu wprowadza dwie alternatywne podstawy powierzenia przetwarzania, które mogą się odbywać na podstawie umowy lub innego instrumentu prawnego (np. zarządzenia, uchwały).

Jednakże koncentrując się na umowie przetwarzania danych, należy podkreślić, że jest ona niczym innym jak pisemnym określeniem wytycznych w zakresie relacji zachodzących pomiędzy administratorem danych osobowych a podmiotem przetwarzającym dane.

W piśmiennictwie wskazuje się, że Umowa powierzenia przetwarzania danych osobowych dotyczy zarówno interesu prywatnego, którym jest zapewnienie gwarancji prawa do ochrony danych osobowych jako sfery prawa do prywatności, jak również interesu publicznego, jakim jest zagwarantowanie szeroko rozumianego bezpieczeństwa informacji oraz pewności obrotu.

Kto i komu może powierzyć przetwarzanie danych osobowych?

Jak wynika z przepisu art. 28 ust 1. RODO, administrator danych osobowych może powierzyć przetwarzanie danych innemu (wybranemu) podmiotowi.

W szczególności przepis ten stanowi, iż Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

Z powyższej regulacji wynika, że powierzenie przetwarzania jest zlecane przez administratora wybranemu profesjonalnemu podmiotowi w zakresie dokonania określonych czynności przetwarzania. Działania te są podejmowane przez podmiot przetwarzający w imieniu i na rzecz administratora. 

Kim jest administrator?

W przepisie art. 4 ust. 7 RODO wskazano m.in., że administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Kim jest podmiot przetwarzający?

Zgodnie z definicją legalną zawartą w art. 4 pkt 8 RODO, takim podmiotem może być osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Co oznaczają określone w art. 28 ust. 1 RODO gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych przez podmiot przetwarzający?

Zdaje się, że prawodawca miał na celu skłonienie administratora do wyboru profesjonalnego, przeszkolonego podmiotu, który nie tylko posiadać będzie odpowiednią wiedzę fachową do przetwarzania danych, ale dodatkowo będzie posiadać możliwości techniczne zapewniające odpowiedni poziom ochrony danych.

Dalsze powierzenie przetwarzania danych osobowych

Przepisy RODO zakazują, bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora, korzystanie przez podmiot przetwarzający z usług z innego podmiotu (por. art. 28 ust. 2 RODO).

Tym samym w przypadku udzielenia przez administratora zgody szczegółowej lub ogólnej możliwe jest skorzystanie z instytucji dalszego przetwarzania danych osobowych. Niemniej kwestię tę najlepiej uwzględnić w treści samej umowy, albowiem prawodawca wymaga, aby zgoda była uprzednia, co oznacza, że powinna być udzielona przez administratora przed dokonaniem dalszego powierzenia przetwarzania.

Co ważniejsze, zgoda ta powinna być pisemna.

Wymogi dotyczące treści umowy powierzenia przetwarzania danych osobowych

Elementy umowy

Szczegółowe kwestie dotyczące powierzenia przez administratora przetwarzania danych innemu podmiotowi (podmiotowi przetwarzającemu) uregulowane są w przepisie art. 28 ust. 3 RODO. Powołany przepis określa wymogi dotyczące treści umowy lub innego instrumentu prawnego stanowiącego podstawę powierzenia przetwarzania oraz określa obowiązki stron umowy, a przede wszystkim obowiązki podmiotu przetwarzającego, które powinny być zawarte w umowie lub innym instrumencie prawnym

Treść umowy (lub instrumentu prawnego) powinna spełniać następujące warunki, koncentrujące się na określeniu:

• przedmiotu i czasu trwania przetwarzania;
• charakteru i celu przetwarzania danych;
• rodzaju danych osobowych oraz kategorie osób, których dane dotyczą;
• obowiązków i praw administratora.

Obowiązki podmiotu przetwarzającego wynikające z umowy

Z kolei wśród obowiązków podmiotu przetwarzającego, które powinny być wskazane w umowie, wyróżnia się powinności w postaci:

• przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora (dotyczy to również przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej),
• zapewnienia, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
• podejmowania wszelkich środków wymaganych w przepisie art. 32 RODO dotyczącym bezpieczeństwa danych osobowych,
• przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego, tj. z uwzględnieniem wymogów związanych z dalszym powierzeniem przetwarzania danych,
• udzielania pomocy administratorowi w wypełnianiu obowiązków m.in. związanych z realizacją żądań osób, których dane są przetwarzane (określonych w rozdziale III RODO) bądź zabezpieczeniem danych czy ich zgłaszaniem,
• usunięcia lub zwrotu administratorowi wszelkich danych osobowych oraz usunięcia ich kopii po zakończeniu świadczenia usług związanych z przetwarzaniem danych (zgodnie z decyzją administratora),
• udostępnienia administratorowi wszelkich informacji dotyczących przetwarzania danych w ramach zawartej umowy powierzenia oraz umożliwienia (administratorowi lub audytorowi) przeprowadzania audytów w zakresie realizacji tej umowy.

Forma umowy

Dla celów dowodowych umowa powierzenia przetwarzania danych osobowych powinna być zawarta w formie pisemnej, jednakże przepisy nie zabraniają zawarcia takiej umowy w formie elektronicznej.

Podsumowanie

Mając na uwadze fakt, iż powierzenie przetwarzania danych coraz częściej zachodzi w procesach gospodarczych, gdzie administratorzy nawiązują „współpracę” z wyspecjalizowanymi podmiotami, istotne staje się posiadanie szczególnej wiedzy na temat konieczności zawarcia specjalnej umowy jaką jest umowa powierzenia przetwarzania danych osobowych. Przepisy RODO określają wymogi w zakresie treści samej umowy jak i nakładają szereg obowiązków spoczywających po stronie podmiotu przetwarzającego.

Należy pamiętać, że już samo wydanie zlecenia przez administratora wykonywania swoich obowiązków związanych z przetwarzaniem danych osobowych na inny podmiot rodzi konieczność zawarcia przez obie strony takiej umowy. Brak istnienia w obrocie prawnym takiego dokumentu bądź uchybienie jego warunkom może skutkować nałożeniem kary pieniężnej za naruszenie przepisów RODO.

Źródła:

1. M. Czech, Umowa powierzenia przetwarzania danych osobowych jako instrument ich ochrony, Uniwersytet w Białymstoku, Białystok 2019
2. P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 28.