Rozporządzenie o ochronie danych osobowych (dalej również: RODO) kreuje szereg obowiązków po stronie administratorów danych osobowych. Jednym z takich obowiązków jest zawarcie umowy powierzenia danych osobowych.
Umowa powierzenia danych osobowych jest umową cywilnoprawną – nienazwaną tzn. nie regulują jej odrębne przepisy kodeksu cywilnego. Umowa ta zawarta jest z administratorem danych osobowych i podmiotem trzecim, który będzie przetwarzał dane osobowe. Przepisy nie wymagają dla zawarcia takiej umowy formy szczególnej. Dla celów dowodowych warto jednak żeby umowa powierzenia danych osobowych zawarta była co najmniej w formie pisemnej lub dokumentowej.
Kiedy trzeba podpisać umowę powierzenia?
Dla podmiotów administrujących dane osobowe z pewnością kluczowe znaczenie ma odpowiedź na pytanie kiedy należy podpisać umowę powierzenia? Umowa taka nie jest obligatoryjna za każdym razem gdy tylko administrator dokonuje przetwarzania danych osobowych.
Obowiązek podpisania umowy powierzenia danych osobowych aktualizuje się dopiero wtedy, gdy administrator danych osobowych zamierza podjąć z podmiotem zewnętrznym w celu realizowania swoich zadań, w ramach których dokonuje przetwarzania danych osobowych. Prościej mówiąc umowę powierzenia należy podpisać gdy administrator danych musi, bądź chce, wspomóc się innym podmiotem w celu wykonania powierzonych mu usług, czy prac, a podmiot zewnętrzny w ramach tej współpracy będzie przetwarzał dane osobowe przekazane mu przez administratora.
Do najczęstszych przykładów, w ramach których należy zawrzeć umowę powierzenia, należy współpraca administratora danych z podmiotami świadczącymi na jego rzecz usługi księgowe czy rekrutacji nowych pracowników. W ramach wykonywania takich usług z reguły podmioty zewnętrzne otrzymują od administratora dane osobowe celem ich przetworzenia. Przykładowo firma księgowa może otrzymać dane dotyczące imion, nazwisk i adresów zamieszkania klientów administratora, którym ten wystawił Faktury VAT. Podmiot prowadzący rekrutację będzie zbierał dane kandydatów i przekazywał je do administratora.
Innym często występującym, choć może nie tak oczywistym, przykładem mogą być usługi programistyczne. Przykładowo firmy dostarczające administratorowi infrastrukturę informatyczną również mogą przetwarzać dane osobowe klientów, czy kontrahentów administratora, zapisane w pamięci dysków i nośników informatycznych. W takim wypadku podjęcie współpracy z firmą programistyczną powinno zostać poprzedzone podpisaniem umowy powierzenia. Częstą sytuacją w której dochodzi do powierzenia są także sytuacje w których dane są hostowane na zewnętrznych serwerach, czy tworzone są kopie bezpieczeństwa
Kto i komu może powierzyć przetwarzanie danych osobowych?
Skoro wiemy już kiedy należy podpisać umowę powierzenia danych osobowych warto zastanowić się jakie podmioty mają prawo powierzyć przetwarzanie danych osobowych. Innymi słowy jakie są strony umowy powierzenia danych osobowych?
Powierzyć dane osobowe podmiotowi zewnętrznemu może administrator danych osobowych. Dla potrzeb nomenklatury umowy powierzenia danych osobowych administrator często określa się mianem ADO. Druga strona umowy – podmiot, któremu powierza się przetwarzanie danych osobowych to natomiast tzw. Procesor. Umowa powierzenia może zezwolić procesorowa na podpisanie umów dalszego powierzenia – zaangażowanie tzw sub-procesorów. O takiej sytuacji możemy mówić, przykładowo, jeżeli procesor świadczący usługi np księgowe, hostuje swoje programy na zewnętrznych serwerach. Korzystanie z subprocesorów jest bardzo często spotykanym rozwiązaniem.
Co powinna zawierać umowa powierzenia?
Znając już strony umowy powierzenia oraz wiedząc kiedy jej zawarcie jest konieczne warto skupić się na przybliżeniu tego co powinna zawierać umowa powierzenia?
Żeby umowa powierzenia była zgodna z wymogami RODO powinna zawierać co najmniej:
- określenie ADO (administratora danych osobowych);
- określenie Procesora (podmiotu zewnętrznego, któremu powierza się dane osobowe);
- zakres danych powierzanych Procesorowi oraz czas przetwarzania takich danych;
- możliwie precyzyjne określenie celu przetwarzania danych osobowych, jak również sprecyzowanie jakich kategorii podmiotów dotyczą dane podlegające powierzeniu;
- wymienienie obowiązków administratora danych osobowych;
- oświadczenie podmiotu przetwarzającego o zaznajomieniu się z ciążącymi na nim obowiązkami, wymienienie tych obowiązków.
- wskazanie zasad zaangażowania subprocesorów (dalszego powierzenia) – np poprzez wskazanie listy podmiotów z określeniem że jej rozszerzenie będzie wymagać zgody administratora, udzielenie ogólnego zezwolenia bądź zakazu
- wskazanie zasad kontroli. Administrator posiada interes w zapewnieniu że podmiot przetwarzający postępuje zgodnie z prawem i jako taki może kontrolować wywiązywanie się przez procesora z obowiązków;
- wymóg usunięcia bądź anonimizacji danych po zakończeniu współpracy.
Wskazany powyżej katalog elementów umowy powierzenia danych osobowych nie jest jednak zamknięty. Poza powyższymi strony umowy mogą zawrzeć w jej treści również inne postanowienia, zgodnie z zasadą swobody umów. Przykładowo ADO może wprowadzić do umowy powierzenia kary umowne za naruszenie przez Procesora postanowień umownych. Taki zapis jest rozsądnym zabezpieczeniem gdyż powinien zmobilizować podmiot przetwarzający do skrupulatnego wypełnienia wszystkich ciążących na nim obowiązków, a w efekcie wzmocnić bezpieczeństwo danych osobowych.
Przed podpisaniem umowy powierzenia należy dokonać także weryfikacji kompetencji podmiotu przetwarzającego i jego zdolności do zapewnienia ochrony danych osobowych. Brak takiej weryfikacji może, jeżeli dojdzie do naruszenia, wiązać się z karą nałożoną na administratora.
Kiedy podpisanie umowy powierzenia nie będzie konieczne?
Warto na koniec zastanowić się, czy podpisanie umowy powierzenia jest konieczne zawsze, gdy administrator współpracuje z podmiotem trzecim. Z pewnością obowiązek taki nie istnieje gdy ze współpracą nie wiąże się konieczność powierzenia danych osobowych.
Umowy powierzenia nie musimy zawierać również w odniesieniu do tych danych osobowych, których druga strona również jest administratorem. Przykładowo gdy strony umowy o świadczenie usług przekazują sobie kontakty do osób reprezentujących je w ramach realizowania umowy. W takim wypadku każda ze stron jest administratorem przekazywanych danych, a prawo drugiej strony do ich przetwarzania wynikać będzie wprost z art. 6 ust. 1 lit. f) RODO. Innym przypadkiem jest ten, w którym przepisy prawa nakładają na obydwa podmioty obowiązek przetwarzania danych w określonym zakresie i w określony sposób – np w przypadku przekazywania dokumentacji medycznej pomiędzy dwoma placówkami medycznymi.