Blog ifirma.pl

Umowa powierzenia przetwarzania danych osobowych

|
|
5 minut czytania
Obowiązujące rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: RODO) ma celu ochronę osób fizycznych w związku z przetwarzaniem danych osobowych, która określana jest skrótowo mianem ochrony danych osobowych.

Sprawdź również nasz materiał na Youtube:

 

Oznacza to, że istotą regulacji powołanego rozporządzenia jest ochrona każdej osoby fizycznej przed negatywnymi konsekwencjami wynikającymi z nieprawidłowego przetwarzania danych. Dlatego też wśród szeregu przepisów RODO prawodawca przewidział m.in. konieczność zawarcia umowy powierzenia przetwarzania danych osobowych, w przypadku gdy przetwarzanie dokonywane przez podmiot przetwarzający jest w imieniu i na zlecenie administratora danych osobowych.

Czym jest zatem taka umowa i jakie są jej elementy? Odpowiedź znajdziesz w niniejszym artykule, a więcej na temat samego RODO tutaj.

Czym jest umowa powierzenia przetwarzania danych osobowych?

Przepis art. 28 RODO reguluje zagadnienia dotyczące powierzenia przez administratora danych osobowych przetwarzania tych danych innemu podmiotowi, z kolei ustęp 3 analizowanego przepisu wprowadza dwie alternatywne podstawy powierzenia przetwarzania, które mogą się odbywać na podstawie umowy lub innego instrumentu prawnego (np. zarządzenia, uchwały).

Jednakże koncentrując się na umowie przetwarzania danych, należy podkreślić, że jest ona niczym innym jak pisemnym określeniem wytycznych w zakresie relacji zachodzących pomiędzy administratorem danych osobowych a podmiotem przetwarzającym dane.

W piśmiennictwie wskazuje się, że Umowa powierzenia przetwarzania danych osobowych dotyczy zarówno interesu prywatnego, którym jest zapewnienie gwarancji prawa do ochrony danych osobowych jako sfery prawa do prywatności, jak również interesu publicznego, jakim jest zagwarantowanie szeroko rozumianego bezpieczeństwa informacji oraz pewności obrotu.

Kto i komu może powierzyć przetwarzanie danych osobowych?

Jak wynika z przepisu art. 28 ust 1. RODO, administrator danych osobowych może powierzyć przetwarzanie danych innemu (wybranemu) podmiotowi.

W szczególności przepis ten stanowi, iż Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

Z powyższej regulacji wynika, że powierzenie przetwarzania jest zlecane przez administratora wybranemu profesjonalnemu podmiotowi w zakresie dokonania określonych czynności przetwarzania. Działania te są podejmowane przez podmiot przetwarzający w imieniu i na rzecz administratora. 

Kim jest administrator?

W przepisie art. 4 ust. 7 RODO wskazano m.in., że administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Kim jest podmiot przetwarzający?

Zgodnie z definicją legalną zawartą w art. 4 pkt 8 RODO, takim podmiotem może być osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Co oznaczają określone w art. 28 ust. 1 RODO gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych przez podmiot przetwarzający?

Zdaje się, że prawodawca miał na celu skłonienie administratora do wyboru profesjonalnego, przeszkolonego podmiotu, który nie tylko posiadać będzie odpowiednią wiedzę fachową do przetwarzania danych, ale dodatkowo będzie posiadać możliwości techniczne zapewniające odpowiedni poziom ochrony danych.

Dalsze powierzenie przetwarzania danych osobowych

Przepisy RODO zakazują, bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora, korzystanie przez podmiot przetwarzający z usług z innego podmiotu (por. art. 28 ust. 2 RODO).

Tym samym w przypadku udzielenia przez administratora zgody szczegółowej lub ogólnej możliwe jest skorzystanie z instytucji dalszego przetwarzania danych osobowych. Niemniej kwestię tę najlepiej uwzględnić w treści samej umowy, albowiem prawodawca wymaga, aby zgoda była uprzednia, co oznacza, że powinna być udzielona przez administratora przed dokonaniem dalszego powierzenia przetwarzania.

Co ważniejsze, zgoda ta powinna być pisemna.

Wymogi dotyczące treści umowy powierzenia przetwarzania danych osobowych

Elementy umowy

Szczegółowe kwestie dotyczące powierzenia przez administratora przetwarzania danych innemu podmiotowi (podmiotowi przetwarzającemu) uregulowane są w przepisie art. 28 ust. 3 RODO. Powołany przepis określa wymogi dotyczące treści umowy lub innego instrumentu prawnego stanowiącego podstawę powierzenia przetwarzania oraz określa obowiązki stron umowy, a przede wszystkim obowiązki podmiotu przetwarzającego, które powinny być zawarte w umowie lub innym instrumencie prawnym

.

Treść umowy (lub instrumentu prawnego) powinna spełniać następujące warunki, koncentrujące się na określeniu:

  • przedmiotu i czasu trwania przetwarzania;
  • charakteru i celu przetwarzania danych;
  • rodzaju danych osobowych oraz kategorie osób, których dane dotyczą;
  • obowiązków i praw administratora.

Obowiązki podmiotu przetwarzającego wynikające z umowy

Z kolei wśród obowiązków podmiotu przetwarzającego, które powinny być wskazane w umowie, wyróżnia się powinności w postaci:

  • przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora (dotyczy to również przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej),
  • zapewnienia, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
  • podejmowania wszelkich środków wymaganych w przepisie art. 32 RODO dotyczącym bezpieczeństwa danych osobowych,
  • przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego, tj. z uwzględnieniem wymogów związanych z dalszym powierzeniem przetwarzania danych,
  • udzielania pomocy administratorowi w wypełnianiu obowiązków m.in. związanych z realizacją żądań osób, których dane są przetwarzane (określonych w rozdziale III RODO) bądź zabezpieczeniem danych czy ich zgłaszaniem,
  • usunięcia lub zwrotu administratorowi wszelkich danych osobowych oraz usunięcia ich kopii po zakończeniu świadczenia usług związanych z przetwarzaniem danych (zgodnie z decyzją administratora),
  • udostępnienia administratorowi wszelkich informacji dotyczących przetwarzania danych w ramach zawartej umowy powierzenia oraz umożliwienia (administratorowi lub audytorowi) przeprowadzania audytów w zakresie realizacji tej umowy.

Forma umowy

Dla celów dowodowych umowa powierzenia przetwarzania danych osobowych powinna być zawarta w formie pisemnej, jednakże przepisy nie zabraniają zawarcia takiej umowy w formie elektronicznej.

Podsumowanie

Mając na uwadze fakt, iż powierzenie przetwarzania danych coraz częściej zachodzi w procesach gospodarczych, gdzie administratorzy nawiązują „współpracę” z wyspecjalizowanymi podmiotami, istotne staje się posiadanie szczególnej wiedzy na temat konieczności zawarcia specjalnej umowy jaką jest umowa powierzenia przetwarzania danych osobowych. Przepisy RODO określają wymogi w zakresie treści samej umowy jak i nakładają szereg obowiązków spoczywających po stronie podmiotu przetwarzającego.

Należy pamiętać, że już samo wydanie zlecenia przez administratora wykonywania swoich obowiązków związanych z przetwarzaniem danych osobowych na inny podmiot rodzi konieczność zawarcia przez obie strony takiej umowy. Brak istnienia w obrocie prawnym takiego dokumentu bądź uchybienie jego warunkom może skutkować nałożeniem kary pieniężnej za naruszenie przepisów RODO.

Źródła:

  1. M. Czech, Umowa powierzenia przetwarzania danych osobowych jako instrument ich ochrony, Uniwersytet w Białymstoku, Białystok 2019
  2. P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 28.

Autor ifirma.pl

Adrianna Glapiak

Autorka tekstów prawnych na ifirma.pl. Prawnik posiadająca wieloletnie doświadczenie w doradztwie prawnym oraz podatkowym. Na co dzień swoją wiedzę i doświadczenie poszerza dzięki pracy jako specjalista do spraw prawnych, a czas wolny poświęca na podnoszeniu kwalifikacji w zakresie aspektów prawnych w e-commerce i social mediach oraz szeroko pojętym prawie autorskim.

Cała firma
w jednym miejscu?

Z Biurem Rachunkowym i aplikacją IFIRMA masz wszystko pod kontrolą i w jednym narzędziu!

już od 149zł/mies.
Zleć księgowość
Dodaj komentarz

Zachęcamy do komentowania naszych artykułów. Wyraź swoje zdanie i włącz się w dyskusje z innymi czytelnikami. Na indywidualne pytania (z zakresu podatków i księgowości) użytkowników ifirma.pl odpowiadamy przez e-mail, czat lub telefon – skontaktuj się z nami.

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Administratorem Twoich danych osobowych jest IFIRMA S.A. z siedzibą we Wrocławiu. Dodając komentarz na blogu, przekazujesz nam swoje dane: imię i nazwisko, adres e-mail oraz treść komentarza. W systemie odnotowywany jest także adres IP, z wykorzystaniem którego dodałeś komentarz. Dane zostają zapisane w bazie systemu WordPress. Twoje dane są przetwarzane na podstawie Twojej zgody, wynikającej z dodania komentarza. Dane są przetwarzane w celu opublikowania komentarza na blogu, jak również w celu obrony lub dochodzenia roszczeń. Dane w bazie systemu WordPress są w niej przechowywane przez okres funkcjonowania bloga. O szczegółach przetwarzania danych przez IFIRMA S.A dowiesz się ze strony polityki prywatności serwisu ifirma.pl.

Biuro rachunkowe - ifirma.pl

Mobilnie. Wszędzie

Z ifirma.pl masz księgowość w swoim telefonie. Wysyłaj dokumenty, sprawdzaj salda i terminy online, gdziekolwiek jesteś. Aplikację znajdziesz na najpopularniejszych platformach.

Mobilnie