ABC Umowy powierzenia

Mimo, że od rozpoczęcia obowiązywania przepisów ogólnego rozporządzenia o ochronie danych osobowych minęło sporo czasu, kwestie związane z zawieraniem umów powierzenia nadal budzą wiele wątpliwości. W związku z powyższym, poniżej przedstawiamy krótkie podsumowanie najważniejszych kwestii dotyczących właśnie umowy powierzenia.

Kim jest podmiot przetwarzający?

Zgodnie z art. 4 pkt 8 RODO podmiotem przetwarzającym jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Kiedy należy zawrzeć umowę powierzenia?

Umowa powierzenia powinna zostać zawarta w sytuacji, w której podmiot przetwarza dane w imieniu administratora na jego wyraźne polecenie, a przetwarzanie odbywa się (o czym wiele osób zapomina) na podstawie umowy lub innego instrumentu prawnego (np. porozumienie zawarte pomiędzy organami administracji publicznej), które podlegają prawu UE lub prawu państwa członkowskiego.

Jakie elementy powinna zawierać umowa powierzenia?

To jakie elementy powinna zawierać każda umowa powierzenia zostało dokładnie określone w art. 28 RODO. Przede wszystkim powinna ona określać przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora. Ponadto w umowie należy zapewnić, iż podmiot przetwarzający:

Będzie przetwarzać dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający,

Zapewni, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,

Podejmie wszelkie środki wymagane na mocy art. 32 RODO (dot. bezpieczeństwa przetwarzania),

Będzie przestrzegać warunków korzystania z usług innego podmiotu przetwarzającego, zgodnie z przepisami dot. podmiotów przetwarzających,

Biorąc pod uwagę charakter przetwarzania, będzie w miarę możliwości pomagać administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO,

Uwzględniając charakter przetwarzania oraz dostępne mu informacje, będzie pomagać administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO (dot. bezpieczeństwa przetwarzania, zgłaszania naruszeń ochrony danych, oceny skutków dla ochrony danych),

Po zakończeniu świadczenia usług związanych z przetwarzaniem, zależnie od decyzji administratora usunie lub zwróci mu wszelkie dane osobowe oraz usunie wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych,

Udostępni administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwi administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczyni się do nich,

Niezwłocznie poinformuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.

Ponadto, w umowie powinien znaleźć się także zapis informujący o tym czy administrator udziela zgody na podpowierzanie przetwarzania danych. W przypadku udzielenia ogólnej zgody, w umowie powinien znaleźć się zapis o konieczności zawiadamiania administratora o wszelkich zmianach dotyczących podpowierzenia, wraz z możliwością zgłoszenia przez administratora sprzeciwu wobec takich zmian.

Mimo, że skonstruowanie prawidłowej umowy powierzenia nie jest jak widać prostym zadaniem, to zdecydowanie trudniejszą kwestią jest określenie faktycznej potrzeby jej zawarcia. Nie w każdej bowiem sytuacji, w której istnieje przepływ danych osobowych pomiędzy podmiotami, będzie dochodziło do powierzenia. Nie każda też sytuacja, w której początkowo wydawać by się mogło, iż do powierzenia nie dochodzi, faktycznie taką będzie. W związku z powyższym, do zapewnienia prawidłowości działania, każdorazowo konieczna jest wnikliwa analiza relacji między podmiotami.

Jagienka Smura
Konsultant ds. ochrony danych osobowych w PBSG

Zainteresowaliśmy Cię? Napisz do nas i porozmawiajmy o Twoim projekcie

O Autorze

PBSG
Od 2006 roku pomagamy polskim przedsiębiorcom i organizacjom administracji publicznej w zarządzaniu bezpieczeństwem danych i systemów teleinformatycznych. Przez kilkanaście lat działalności zdobyliśmy niezbędne doświadczenie, dzięki któremu wypracowaliśmy pozycję lidera w obszarze systemowego zarządzania organizacją. Dzisiaj zatrudniamy ponad 180 ekspertów biznesowych i technicznych w ramach grupy kapitałowej. Ponadto współpracujemy z kilkudziesięcioma specjalistami z różnych dziedzin w zakresie zarządzania i wymagań branżowych, aby jak najbardziej dopasować ofertę do realiów i potrzeb polskich firm.