Jakie zapisy zawrzeć w nowej umowie powierzenia zgodne z RODO
Zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) umowy z podmiotem przetwarzającym muszą wzbogacić się o nowe zapisy. Dowiedz się, jakie regulacje możesz zawrzeć w nowej umowie powierzenia przetwarzania danych osobowych zgodnej z RODO. Sprawdź, czy bardzo będą różniły się one od postanowień, które funkcjonują obecnie.
Powierzenie danych do przetwarzania przez inny podmiot w imieniu administratora to rozwiązanie dopuszczalne i znane na gruncie przepisów dyrektywy 95/46/WE (art. 16 ust. 2–4), a co za tym idzie – także ustawy o ochronie danych osobowych. Zakres uregulowania tej instytucji w przepisach prawa nie był jednak adekwatny do skali jej stosowania, która – zwłaszcza w przypadku administratorów prowadzących działalność gospodarczą – była powszechna.
Stronom stosunku powierzenia pozostawiono szerokie pole do zagospodarowania w ramach dozwolonych postanowień umownych. Przekazywanie danych do podmiotów zewnętrznych w praktyce niejednokrotnie wiązało się ze znaczącym ryzykiem dla mniej doświadczonych administratorów. Tracili oni wpływ na sposób przetwarzania danych czy możliwość skontrolowania działań podejmowanych przez procesora, jeśli nie uregulowali tej kwestii odpowiednimi klauzulami. Często skutkowało to realnym zagrożeniem dla bezpieczeństwa danych i praw podmiotów danych.
W ogólnym rozporządzeniu o ochronie danych (RODO) regulacje dotyczące przekazania danych przez administratora do przetwarzania zostały znacząco rozbudowane, możliwość korzystania z takiego narzędzia obwarowano zaś licznymi warunkami. Obok umowy za prawną podstawę powierzenia przyjęto także instrument prawny podlegający prawu Unii lub prawu państwa członkowskiego i wiążący zarówno procesora, jak i administratora. Brak przepisów przejściowych powoduje konieczność weryfikacji istniejących obecnie w obrocie umów powierzenia i dostosowania ich do nowych wymogów do 25 maja tego roku.
Jaki podmiot będzie najlepszym procesorem
Biorąc pod uwagę, jak wysokie ryzyko wiąże się z niewłaściwym wyborem podmiotu przetwarzającego, każdy administrator zobowiązany jest zachować należytą staranność w trakcie procedury poprzedzającej powierzenie danych do przetwarzania. Administrator może bowiem korzystać tylko z usług takiego podmiotu zewnętrznego, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia ogólnego i chroniło prawa osób, których dane dotyczą.
Przyjęcie przez administratora pisemnego zapewnienia od podmiotu przetwarzającego, że ten spełnia wskazane kryteria, należy ocenić jako działanie konieczne, lecz niewystarczające. Administrator może np. żądać od przyszłego procesora udzielenia informacji dotyczących:
a) wykorzystywanych zasobów kadrowych i organizacyjnych, które mają zapewnić przetwarzanie w zgodzie z RODO (motyw 81),
b) wykorzystywanych metodyk w zakresie np. zarządzania usługami IT czy jakością, wdrożenia określonych norm,
c) zastosowanych technologii i ich zabezpieczeń,
d) wdrożonych do stosowania polityk ochrony danych lub bezpieczeństwa,
e) uprawnień naprawczych stosowanych wobec niego przez organ nadzorczy na podstawie art. 58 ust. 2 RODO,
f) nakładanych na niego na podstawie art. 83 RODO administracyjnych kar pieniężnych.
Odnosząc się do kryteriów, które mają zagwarantować właściwy wybór procesora, warto zauważyć, że europejski prawodawca wskazuje, że jednym z nich może być stosowanie przez niego zatwierdzonego kodeksu postępowania (art. 40 RODO) czy zatwierdzonego mechanizmu certyfikacji (art. 42 RODO). Nie oznacza to oczywiście, że podmioty, które nie mogą wykazać się ich stosowaniem, z założenia nie będą dawać należytej gwarancji ochrony danych czy realizacji praw podmiotów danych. Administrator powinien jednak mieć świadomość, że może i powinien żądać od podmiotu przetwarzającego wykazania, że ten spełnia wymogi, o których mowa w art. 28 ust. 1 RODO.
Zasadniczo samo współadministrowanie danymi osobowymi nie wpływa na możliwość zawarcia umowy powierzenia – RODO nie wprowadza tutaj żadnych ograniczeń. Mimo to podmioty współadministrujące danymi mogą rozważyć ustanowienie ograniczeń lub wyłączeń w tym zakresie, a w przypadku ich przyjęcia uczynić je przedmiotem wspólnych ustaleń.
Podmioty te mogą np. przyjąć model, w którym zawieranie umowy powierzenia dotyczącej współadministrowanych danych będzie wyłączone lub umowę taką będzie mógł zawierać w imieniu wszystkich współadministratorów tylko jeden z nich[1].
Co należy uregulować w umowie powierzenia
Prawodawca europejski zdecydował się na określenie zakresu przedmiotowego umowy powierzenia i wprowadzenie określonych wymogów dotyczących jej formy. Zgodnie z art. 28 ust. 3 RODO umowa taka musi określać co najmniej:
a) w odniesieniu do przetwarzania jego:
- przedmiot,
- czas trwania,
- charakter,
- cel;
b) rodzaj przetwarzanych danych;
c) kategorie osób, których dane dotyczą;
d) obowiązki i prawa administratora.
Za przedmiot przetwarzania należy uznać przedmiot samej umowy rozumianej jako opis operacji dokonywanych na danych osobowych[2] (np. zbieranie, utrwalanie i przechowywanie danych czy tylko ich niszczenie).
Czas trwania przetwarzania może zostać zarówno określony poprzez podanie konkretnej daty (umowa na czas określony), jak i obejmować usługę realizowaną w trybie ciągłym z podanym okresem jej wypowiedzenia (umowa na czas nieokreślony). Słusznie zauważa K. Witkowska-Nowakowska, że powierzenie może obejmować „w ramach szerszej umowy powierzenia szereg poszczególnych poleceń administratora w stosunku do konkretnych danych”[3].
Celem przetwarzania może być np. marketing produktów i usług oferowanych przez administratora, dostarczenie towaru zakupionego przez klienta administratora czy prowadzenie rekrutacji w imieniu podmiotu powierzającego dane do przetwarzania. Procesor może oczywiście w ramach jednej umowy powierzenia przetwarzać dane w kilku różnych celach.
Za rodzaj przetwarzanych danych należy uznać ich kategorie[4]. Powinny one jednak zostać określone w sposób wyczerpujący i precyzyjny. Może mieć to istotne znaczenie np. z powodu zasady minimalizacji danych (art. 5 ust. 1 lit. c RODO – zgodnie z zasadą minimalizacji dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane), za której nieprzestrzeganie będzie odpowiadał administrator, lub też w przypadku konieczności zweryfikowania, czy wszystkie kategorie danych zostały zwrócone po zakończeniu przetwarzania.
Określenie kategorii osób, których dane dotyczą, powinno zostać dokonane poprzez opisowe doprecyzowanie danych grupy, np. osoby świadczące pracę na rzecz administratora na podstawie umowy zlecenia w latach 2015–2017; subskrybenci newslettera prowadzonego przez redakcję bloga „Życie zaczyna się po czterdziestce”.
W umowie powierzenia powinny również znaleźć się zapisy określające prawa i obowiązki administratora w relacji z podmiotem przetwarzającym, a przez to także odpowiadające im prawa i obowiązki procesora. Wśród nich strony mogą np. przewidzieć dla administratora prawo do niezwłocznego poinformowania go przez procesora o uzyskaniu dostępu do powierzonych danych przez osobę nieuprawnioną czy o odwołaniu inspektora ochrony danych i jego przyczynach.
Nie należy jednak ograniczyć się jedynie do podania katalogu takich uprawnień i obowiązków, ale także skupić się na sposobie ich wykonywania. Administrator nie powinien zapominać np. o ewentualnym zastrzeżeniu prawa do regresu w stosunku do procesora, którego działanie doprowadziło do powstania szkody po stronie podmiotu danych – wobec ukształtowania solidarnej odpowiedzialności administratora i procesora może mieć to szczególne znaczenie praktyczne.
Katalog elementów, które muszą stać się przedmiotem umowy powierzenia, ma charakter otwarty, tzn. że strony umowy mogą (i powinny) uregulować w niej także inne kwestie związane z powierzeniem danych. Dlatego też możliwe jest np. wprowadzenie do umowy powierzenia regulacji dotyczących kar umownych czy ustalenie zasad współpracy pomiędzy inspektorami ochrony danych ustanowionymi przez administratora i procesora[5].
RODO, w odróżnieniu od dotychczasowych regulacji, wskazuje także, jakie zapisy muszą znaleźć się w umowie powierzenia. Ich katalog, który ma charakter otwarty, został zawarty w art. 28 ust. 3 RODO. Poniższa tabela zawiera przykładowe postanowienia umowne przygotowane na podstawie treści tego przepisu – zmiany w porównaniu z tekstem rozporządzenia ogólnego zostały podkreślone.
|
Lp. |
Przykładowe zapisy umowy powierzenia |
Uwagi |
|
1. |
Paragraf 1 umowy powierzenia danych do przetwarzania
|
Dodano obowiązek zawiadomienia administratora w formie pisemnej. |
|
2. |
Paragraf 2 umowy powierzenia danych do przetwarzania Procesor zapewnia, że wszystkie osoby upoważnione przez niego do przetwarzania danych osobowych zobowiązały się do zachowania w tajemnicy tych danych oraz sposobów ich zabezpieczania. lub
|
Nie dotyczy to tylko osób dopuszczonych do przetwarzania danych w ramach umowy powierzenia, ale wszystkich danych przetwarzanych przez te osoby. |
|
3. |
Paragraf 3 umowy powierzenia danych do przetwarzania Procesor podejmuje wszelkie środki wymagane na mocy art. 32 RODO[7] przed przekazaniem mu przez administratora danych do przetwarzania. Stwierdzenie przez administratora braku spełnienia tych środków lub nienależytego ich spełnienia przed przekazaniem lub po przekazaniu danych do przetwarzania stanowi podstawę do wypowiedzenia przez administratora niniejszej umowy ze skutkiem natychmiastowym. |
Patrz punkt 8 tabeli. Należy dodatkowo przewidzieć narzędzia pozwalające administratorowi na zweryfikowanie stosowania przez procesora tych środków. |
|
4. |
Paragraf 4 umowy powierzenia danych do przetwarzania Procesor bezwzględnie przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w art. 28 ust. 2 i 4 RODO. Stwierdzenie przez administratora naruszenia tych warunków stanowi podstawę do wypowiedzenia przez administratora niniejszej umowy ze skutkiem natychmiastowym. |
Patrz punkt 8 tabeli. |
|
5. |
Paragraf 5 umowy powierzenia danych do przetwarzania Procesor biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO poprzez stosowanie odpowiednich środków technicznych i organizacyjnych. |
|
|
6. |
Paragraf 6 umowy powierzenia danych do przetwarzania
|
Zaproponowane w tym punkcie zapisy mają jedynie poglądowy i przykładowy charakter. a) pożądanego sposobu postępowania procesora (np. jeśli chodzi o raportowanie incydentów bezpieczeństwa), b) czasu podejmowania przez niego określonych działań, c) częstotliwości przeprowadzania audytów, przedstawiania administratorowi rekomendacji itd. |
|
7. |
Paragraf 7 umowy powierzenia danych do przetwarzania
|
Umowa powinna określać: sposób zwrotu danych, w tym także warunki ewentualnej zmiany tego sposobu (czy administrator może dokonać takiej zmiany jednostronnie), lub zawierać postanowienia dotyczące sposobu jego określania. |
|
8. |
Paragraf 8 umowy powierzenia danych do przetwarzania
|
Źródło: opracowanie własne autorów.
Wielu administratorów, zamiast korzystać z umów indywidualnych, z pewnością chętnie sięgnie po standardowe klauzule umowne, jeśli takie zostaną określone przez Komisję czy przyjęte przez organ nadzorczy. RODO takie rozwiązanie przewiduje (art. 28 ust. 7 i 8 RODO), jednak dziś trudno przewidzieć, kiedy takie klauzule umowne mogą się pojawić. Obecnie administratorom pozostaje więc głównie przygotowanie indywidualnych umów powierzenia.
Umowa powierzenia także w formie elektronicznej
Forma umowy powierzenia, zgodnie z art. 28 ust. 9 RODO, ma być pisemna, w tym dopuszcza się formę elektroniczną, co jest istotnym złagodzeniem wymogów co do formy i ma istotne znaczenie praktyczne[9]. Za K. Witkowską-Nowakowską należy przy tym wskazać, że z uwagi na cel regulacji oraz specyfikę prawa europejskiego za wystarczające należy uznać spełnienie wymogów tzw. formy dokumentowej[10], wprowadzonej do polskiego porządku prawnego w 2016 roku poprzez nowelizację przepisów Kodeksu cywilnego (kc).
|
Artykuł 77² kc: Do zachowania dokumentowej formy czynności prawnej wystarcza złożenie oświadczenia woli w postaci dokumentu, w sposób umożliwiający ustalenie osoby składającej oświadczenie. Artykuł 77³ kc: Dokumentem jest nośnik informacji umożliwiający zapoznanie się z jej treścią. |
[1] Więcej i podobnie na ten temat zob. J. Byrski, Umowne powierzenie do przetwarzania danych osobowych w ustawie o ochronie danych osobowych, dyrektywie 95/46 i w ogólnym rozporządzeniu o ochronie danych, [w:] G. Sibiga (red.), Ogólne rozporządzenie o ochronie danych. Aktualne problemy prawnej ochrony danych osobowych 2016, „Monitor Prawniczy” 20/2016, s. 35–44 oraz K. Witkowska-Nowakowska, [w:] E. Bielak-Jomaa, D. Lubasz (red.), Ogólne rozporządzenie o ochronie danych. Komentarz, Warszawa 2017 r., s. 636.
[2] J. Byrski, Umowne powierzenie…, s. 41.
[3] Tak też K. Witkowska-Nowakowska, [w:] E. Bielak-Jomaa, D. Lubasz (red.), Ogólne rozporządzenie…, s. 639.
[4] Tamże.
[5] Tak też K. Witkowska-Nowakowska, [w:] E. Bielak-Jomaa, D. Lubasz (red.), Ogólne rozporządzenie…, s. 646–647. Na temat konstrukcji i klauzul stosowanych w dotychczasowych umowach powierzenia zob. również T. Banyś, J. Łuczak, Ochrona danych osobowych w praktyce. Jak uniknąć błędów i ich konsekwencji prawnych, wyd. 3, Wrocław 2017, s. 245–251.
[6] Pojęcie procesora należy wprowadzić w umowie przy określeniu jej stron, nie jest to bowiem pojęcie legalne (nie jest używane na gruncie RODO).
[7] Skrót „RODO” należy wprowadzić i rozwinąć w umowie.
[8] Pojęcie „rozporządzenie ogólne” należy wprowadzić i rozwinąć w umowie.
[9] K. Witkowska-Nowakowska, [w:] E. Bielak-Jomaa, D. Lubasz (red.), Ogólne rozporządzenie…, s. 636.
[10] Tamże, s. 637.
Artykuł powstał przy współautorstwie dr Tomasza Banysia, doktora nauk prawnych, adwokata, który wiedzę prawniczą z zakresu ochrony danych osobowych łączy z wieloletnim doświadczeniem z zakresu informatyki oraz zarządzania bezpieczeństwem.
- rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
- Kody QR a bezpieczeństwo danych osobowych
- Jak wypełnić świadectwo pracy i nie przetwarzać danych w nadmiarze
- Umowa powierzenia przetwarzania danych osobowych w 11 krokach
- DPIA – męczący obowiązek czy odpowiedzialne podejście do zapewnienia bezpieczeństwa danych?
- Ocena skutków przetwarzania dla ochrony danych w 8 krokach
- Co robi IOD w ocenie skutków
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
