Sprawdź również nasz materiał na Youtube:
Oznacza to, że istotą regulacji powołanego rozporządzenia jest ochrona każdej osoby fizycznej przed negatywnymi konsekwencjami wynikającymi z nieprawidłowego przetwarzania danych. Dlatego też wśród szeregu przepisów RODO prawodawca przewidział m.in. konieczność zawarcia umowy powierzenia przetwarzania danych osobowych, w przypadku gdy przetwarzanie dokonywane przez podmiot przetwarzający jest w imieniu i na zlecenie administratora danych osobowych.
Czym jest zatem taka umowa i jakie są jej elementy? Odpowiedź znajdziesz w niniejszym artykule, a więcej na temat samego RODO tutaj.
Przepis art. 28 RODO reguluje zagadnienia dotyczące powierzenia przez administratora danych osobowych przetwarzania tych danych innemu podmiotowi, z kolei ustęp 3 analizowanego przepisu wprowadza dwie alternatywne podstawy powierzenia przetwarzania, które mogą się odbywać na podstawie umowy lub innego instrumentu prawnego (np. zarządzenia, uchwały).
Jednakże koncentrując się na umowie przetwarzania danych, należy podkreślić, że jest ona niczym innym jak pisemnym określeniem wytycznych w zakresie relacji zachodzących pomiędzy administratorem danych osobowych a podmiotem przetwarzającym dane.
W piśmiennictwie wskazuje się, że Umowa powierzenia przetwarzania danych osobowych dotyczy zarówno interesu prywatnego, którym jest zapewnienie gwarancji prawa do ochrony danych osobowych jako sfery prawa do prywatności, jak również interesu publicznego, jakim jest zagwarantowanie szeroko rozumianego bezpieczeństwa informacji oraz pewności obrotu.
Jak wynika z przepisu art. 28 ust 1. RODO, administrator danych osobowych może powierzyć przetwarzanie danych innemu (wybranemu) podmiotowi.
W szczególności przepis ten stanowi, iż Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
Z powyższej regulacji wynika, że powierzenie przetwarzania jest zlecane przez administratora wybranemu profesjonalnemu podmiotowi w zakresie dokonania określonych czynności przetwarzania. Działania te są podejmowane przez podmiot przetwarzający w imieniu i na rzecz administratora.
W przepisie art. 4 ust. 7 RODO wskazano m.in., że administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Zgodnie z definicją legalną zawartą w art. 4 pkt 8 RODO, takim podmiotem może być osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Zdaje się, że prawodawca miał na celu skłonienie administratora do wyboru profesjonalnego, przeszkolonego podmiotu, który nie tylko posiadać będzie odpowiednią wiedzę fachową do przetwarzania danych, ale dodatkowo będzie posiadać możliwości techniczne zapewniające odpowiedni poziom ochrony danych.
Przepisy RODO zakazują, bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora, korzystanie przez podmiot przetwarzający z usług z innego podmiotu (por. art. 28 ust. 2 RODO).
Tym samym w przypadku udzielenia przez administratora zgody szczegółowej lub ogólnej możliwe jest skorzystanie z instytucji dalszego przetwarzania danych osobowych. Niemniej kwestię tę najlepiej uwzględnić w treści samej umowy, albowiem prawodawca wymaga, aby zgoda była uprzednia, co oznacza, że powinna być udzielona przez administratora przed dokonaniem dalszego powierzenia przetwarzania.
Co ważniejsze, zgoda ta powinna być pisemna.
Szczegółowe kwestie dotyczące powierzenia przez administratora przetwarzania danych innemu podmiotowi (podmiotowi przetwarzającemu) uregulowane są w przepisie art. 28 ust. 3 RODO. Powołany przepis określa wymogi dotyczące treści umowy lub innego instrumentu prawnego stanowiącego podstawę powierzenia przetwarzania oraz określa obowiązki stron umowy, a przede wszystkim obowiązki podmiotu przetwarzającego, które powinny być zawarte w umowie lub innym instrumencie prawnym
.Treść umowy (lub instrumentu prawnego) powinna spełniać następujące warunki, koncentrujące się na określeniu:
Z kolei wśród obowiązków podmiotu przetwarzającego, które powinny być wskazane w umowie, wyróżnia się powinności w postaci:
Dla celów dowodowych umowa powierzenia przetwarzania danych osobowych powinna być zawarta w formie pisemnej, jednakże przepisy nie zabraniają zawarcia takiej umowy w formie elektronicznej.
Mając na uwadze fakt, iż powierzenie przetwarzania danych coraz częściej zachodzi w procesach gospodarczych, gdzie administratorzy nawiązują „współpracę” z wyspecjalizowanymi podmiotami, istotne staje się posiadanie szczególnej wiedzy na temat konieczności zawarcia specjalnej umowy jaką jest umowa powierzenia przetwarzania danych osobowych. Przepisy RODO określają wymogi w zakresie treści samej umowy jak i nakładają szereg obowiązków spoczywających po stronie podmiotu przetwarzającego.
Należy pamiętać, że już samo wydanie zlecenia przez administratora wykonywania swoich obowiązków związanych z przetwarzaniem danych osobowych na inny podmiot rodzi konieczność zawarcia przez obie strony takiej umowy. Brak istnienia w obrocie prawnym takiego dokumentu bądź uchybienie jego warunkom może skutkować nałożeniem kary pieniężnej za naruszenie przepisów RODO.
Zastanawiasz się kogo dotyczy przekazywanie wpłat na ZFŚS do 31 maja? W dzisiejszym artykule odpowiemy…
Zasada stanowi, że udziały w spółce z ograniczoną odpowiedzialnością podlegają dziedziczeniu jak każdy inny składnik…
Wyobraź sobie świat, w którym Twoja firma może tworzyć wciągające, spersonalizowane wideo na każdą okazję,…
Nawet najdoskonalszy produkt czy usługa nie osiągną sukcesu na rynku bez odpowiedniej strategii komunikacji. Jeśli…
Jednym z rozwiązań przyjętych przez Polski Ład jest świadczenie rodzinne, z którego mogą skorzystać rodzice…
Rozpoczynasz ponownie działalność i zastanawiasz się czy masz prawo do niższego ZUSu? W dzisiejszym artykule…