Jakie zapisy zawrzeć w nowej umowie powierzenia zgodne z RODO

Monika Brzozowska-Pasieka

Autor: Joanna Łuczak-Tarka

Dodano: 15 stycznia 2018
Dowiedz się, jakie regulacje możesz zawrzeć w nowej umowie powierzenia przetwarzania danych osobowych zgodnej z RODO.

Zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) umowy z podmiotem przetwarzającym muszą wzbogacić się o nowe zapisy. Dowiedz się, jakie regulacje możesz zawrzeć w nowej umowie powierzenia przetwarzania danych osobowych zgodnej z RODO. Sprawdź, czy bardzo będą różniły się one od postanowień, które funkcjonują obecnie.

Powierzenie danych do przetwarzania przez inny podmiot w imieniu administratora to rozwiązanie dopuszczalne i znane na gruncie przepisów dyrektywy 95/46/WE (art. 16 ust. 2–4), a co za tym idzie – także ustawy o ochronie danych osobowych. Zakres uregulowania tej instytucji w przepisach prawa nie był jednak adekwatny do skali jej stosowania, która – zwłaszcza w przypadku administratorów prowadzących działalność gospodarczą – była powszechna.

Stronom stosunku powierzenia pozostawiono szerokie pole do zagospodarowania w ramach dozwolonych postanowień umownych. Przekazywanie danych do podmiotów zewnętrznych w praktyce niejednokrotnie wiązało się ze znaczącym ryzykiem dla mniej doświadczonych administratorów. Tracili oni wpływ na sposób przetwarzania danych czy możliwość skontrolowania działań podejmowanych przez procesora, jeśli nie uregulowali tej kwestii odpowiednimi klauzulami. Często skutkowało to realnym zagrożeniem dla bezpieczeństwa danych i praw podmiotów danych.

W ogólnym rozporządzeniu o ochronie danych (RODO) regulacje dotyczące przekazania danych przez administratora do przetwarzania zostały znacząco rozbudowane, możliwość korzystania z takiego narzędzia obwarowano zaś licznymi warunkami. Obok umowy za prawną podstawę powierzenia przyjęto także instrument prawny podlegający prawu Unii lub prawu państwa członkowskiego i wiążący zarówno procesora, jak i administratora. Brak przepisów przejściowych powoduje konieczność weryfikacji istniejących obecnie w obrocie umów powierzenia i dostosowania ich do nowych wymogów do 25 maja tego roku.

Jaki podmiot będzie najlepszym procesorem

Biorąc pod uwagę, jak wysokie ryzyko wiąże się z niewłaściwym wyborem podmiotu przetwarzającego, każdy administrator zobowiązany jest zachować należytą staranność w trakcie procedury poprzedzającej powierzenie danych do przetwarzania. Administrator może bowiem korzystać tylko z usług takiego podmiotu zewnętrznego, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia ogólnego i chroniło prawa osób, których dane dotyczą.

Przyjęcie przez administratora pisemnego zapewnienia od podmiotu przetwarzającego, że ten spełnia wskazane kryteria, należy ocenić jako działanie konieczne, lecz niewystarczające. Administrator może np. żądać od przyszłego procesora udzielenia informacji dotyczących:

a) wykorzystywanych zasobów kadrowych i organizacyjnych, które mają zapewnić przetwarzanie w zgodzie z RODO (motyw 81),

b) wykorzystywanych metodyk w zakresie np. zarządzania usługami IT czy jakością, wdrożenia określonych norm,

c) zastosowanych technologii i ich zabezpieczeń,

d) wdrożonych do stosowania polityk ochrony danych lub bezpieczeństwa,

e) uprawnień naprawczych stosowanych wobec niego przez organ nadzorczy na podstawie art. 58 ust. 2 RODO,

f) nakładanych na niego na podstawie art. 83 RODO administracyjnych kar pieniężnych.

Odnosząc się do kryteriów, które mają zagwarantować właściwy wybór procesora, warto zauważyć, że europejski prawodawca wskazuje, że jednym z nich może być stosowanie przez niego zatwierdzonego kodeksu postępowania (art. 40 RODO) czy zatwierdzonego mechanizmu certyfikacji (art. 42 RODO). Nie oznacza to oczywiście, że podmioty, które nie mogą wykazać się ich stosowaniem, z założenia nie będą dawać należytej gwarancji ochrony danych czy realizacji praw podmiotów danych. Administrator powinien jednak mieć świadomość, że może i powinien żądać od podmiotu przetwarzającego wykazania, że ten spełnia wymogi, o których mowa w art. 28 ust. 1 RODO.

Zasadniczo samo współadministrowanie danymi osobowymi nie wpływa na możliwość zawarcia umowy powierzenia – RODO nie wprowadza tutaj żadnych ograniczeń. Mimo to podmioty współadministrujące danymi mogą rozważyć ustanowienie ograniczeń lub wyłączeń w tym zakresie, a w przypadku ich przyjęcia uczynić je przedmiotem wspólnych ustaleń.

Podmioty te mogą np. przyjąć model, w którym zawieranie umowy powierzenia dotyczącej współadministrowanych danych będzie wyłączone lub umowę taką będzie mógł zawierać w imieniu wszystkich współadministratorów tylko jeden z nich[1].

Co należy uregulować w umowie powierzenia

Prawodawca europejski zdecydował się na określenie zakresu przedmiotowego umowy powierzenia i wprowadzenie określonych wymogów dotyczących jej formy. Zgodnie z art. 28 ust. 3 RODO umowa taka musi określać co najmniej:

a) w odniesieniu do przetwarzania jego:

  • przedmiot,
  • czas trwania,
  • charakter,
  • cel;

b) rodzaj przetwarzanych danych;

c) kategorie osób, których dane dotyczą;

d) obowiązki i prawa administratora.

Za przedmiot przetwarzania należy uznać przedmiot samej umowy rozumianej jako opis operacji dokonywanych na danych osobowych[2] (np. zbieranie, utrwalanie i przechowywanie danych czy tylko ich niszczenie).

Czas trwania przetwarzania może zostać zarówno określony poprzez podanie konkretnej daty (umowa na czas określony), jak i obejmować usługę realizowaną w trybie ciągłym z podanym okresem jej wypowiedzenia (umowa na czas nieokreślony). Słusznie zauważa K. Witkowska-Nowakowska, że powierzenie może obejmować „w ramach szerszej umowy powierzenia szereg poszczególnych poleceń administratora w stosunku do konkretnych danych”[3].

Celem przetwarzania może być np. marketing produktów i usług oferowanych przez administratora, dostarczenie towaru zakupionego przez klienta administratora czy prowadzenie rekrutacji w imieniu podmiotu powierzającego dane do przetwarzania. Procesor może oczywiście w ramach jednej umowy powierzenia przetwarzać dane w kilku różnych celach.

Za rodzaj przetwarzanych danych należy uznać ich kategorie[4]. Powinny one jednak zostać określone w sposób wyczerpujący i precyzyjny. Może mieć to istotne znaczenie np. z powodu zasady minimalizacji danych (art. 5 ust. 1 lit. c RODO – zgodnie z zasadą minimalizacji dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane), za której nieprzestrzeganie będzie odpowiadał administrator, lub też w przypadku konieczności zweryfikowania, czy wszystkie kategorie danych zostały zwrócone po zakończeniu przetwarzania.

Określenie kategorii osób, których dane dotyczą, powinno zostać dokonane poprzez opisowe doprecyzowanie danych grupy, np. osoby świadczące pracę na rzecz administratora na podstawie umowy zlecenia w latach 2015–2017; subskrybenci newslettera prowadzonego przez redakcję bloga „Życie zaczyna się po czterdziestce”.

W umowie powierzenia powinny również znaleźć się zapisy określające prawa i obowiązki administratora w relacji z podmiotem przetwarzającym, a przez to także odpowiadające im prawa i obowiązki procesora. Wśród nich strony mogą np. przewidzieć dla administratora prawo do niezwłocznego poinformowania go przez procesora o uzyskaniu dostępu do powierzonych danych przez osobę nieuprawnioną czy o odwołaniu inspektora ochrony danych i jego przyczynach.

Nie należy jednak ograniczyć się jedynie do podania katalogu takich uprawnień i obowiązków, ale także skupić się na sposobie ich wykonywania. Administrator nie powinien zapominać np. o ewentualnym zastrzeżeniu prawa do regresu w stosunku do procesora, którego działanie doprowadziło do powstania szkody po stronie podmiotu danych – wobec ukształtowania solidarnej odpowiedzialności administratora i procesora może mieć to szczególne znaczenie praktyczne.

Ważne:

Katalog elementów, które muszą stać się przedmiotem umowy powierzenia, ma charakter otwarty, tzn. że strony umowy mogą (i powinny) uregulować w niej także inne kwestie związane z powierzeniem danych. Dlatego też możliwe jest np. wprowadzenie do umowy powierzenia regulacji dotyczących kar umownych czy ustalenie zasad współpracy pomiędzy inspektorami ochrony danych ustanowionymi przez administratora i procesora[5].

RODO, w odróżnieniu od dotychczasowych regulacji, wskazuje także, jakie zapisy muszą znaleźć się w umowie powierzenia. Ich katalog, który ma charakter otwarty, został zawarty w art. 28 ust. 3 RODO. Poniższa tabela zawiera przykładowe postanowienia umowne przygotowane na podstawie treści tego przepisu – zmiany w porównaniu z tekstem rozporządzenia ogólnego zostały podkreślone.

Lp.

Przykładowe zapisy umowy powierzenia

Uwagi

1.

Paragraf 1 umowy powierzenia danych do przetwarzania

  1. Procesor[6] przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora. Dotyczy to także przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu procesor podlega.
  2. Jeśli obowiązek takiego działania nakłada na procesora prawo Unii lub prawo państwa członkowskiego, przed rozpoczęciem przetwarzania procesor informuje administratora o tym obowiązku prawnym na piśmie, chyba że prawo zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.

Dodano obowiązek zawiadomienia administratora w formie pisemnej.

2.

Paragraf 2 umowy powierzenia danych do przetwarzania

Procesor zapewnia, że wszystkie osoby upoważnione przez niego do przetwarzania danych osobowych zobowiązały się do zachowania w tajemnicy tych danych oraz sposobów ich zabezpieczania.

lub

  1. Procesor zapewnia, że wszystkie osoby upoważnione przez niego do przetwarzania danych osobowych podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
  2. Procesor oświadcza, że źródło tego ustawowego obowiązku zachowania tajemnicy stanowią przepisy …………

Nie dotyczy to tylko osób dopuszczonych do przetwarzania danych w ramach umowy powierzenia, ale wszystkich danych przetwarzanych przez te osoby.

3.

Paragraf 3 umowy powierzenia danych do przetwarzania

Procesor podejmuje wszelkie środki wymagane na mocy art. 32 RODO[7] przed przekazaniem mu przez administratora danych do przetwarzania. Stwierdzenie przez administratora braku spełnienia tych środków lub nienależytego ich spełnienia przed przekazaniem lub po przekazaniu danych do przetwarzania stanowi podstawę do wypowiedzenia przez administratora niniejszej umowy ze skutkiem natychmiastowym.

Patrz punkt 8 tabeli. Należy dodatkowo przewidzieć narzędzia pozwalające administratorowi na zweryfikowanie stosowania przez procesora tych środków.

4.

Paragraf 4 umowy powierzenia danych do przetwarzania

Procesor bezwzględnie przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w art. 28 ust. 2 i 4 RODO. Stwierdzenie przez administratora naruszenia tych warunków stanowi podstawę do wypowiedzenia przez administratora niniejszej umowy ze skutkiem natychmiastowym.

Patrz punkt 8 tabeli.

5.

Paragraf 5 umowy powierzenia danych do przetwarzania

Procesor biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO poprzez stosowanie odpowiednich środków technicznych i organizacyjnych.

 

6.

Paragraf 6 umowy powierzenia danych do przetwarzania

  1. Procesor uwzględniając charakter przetwarzania oraz dostępne mu informacje pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO w sposób określony w niniejszym paragrafie.
  2. W szczególności procesor zapewnia stosowanie odpowiednich środków technicznych i organizacyjnych umożliwiających wywiązanie się przez administratora z obowiązku zapewnienia odpowiedniego stopnia bezpieczeństwa oraz nie rzadziej niż …… przedstawia administratorowi ocenę ich skuteczności i rekomendacje w tym zakresie.
  3. Procesor niezwłocznie zgłasza administratorowi wszelkie przypadki naruszenia ochrony danych osobowych, jednocześnie przekazując informacje na temat charakteru naruszenia ochrony danych osobowych, kategorie danych, liczbę osób, których dane dotyczą, przybliżoną liczbę wpisów, możliwe konsekwencje naruszenia ochrony danych osobowych oraz opis zastosowanych środków w celu zminimalizowania ewentualnych negatywnych skutków naruszenia oraz rekomendacje dalszego postępowania w tym zakresie.

Zaproponowane w tym punkcie zapisy mają jedynie poglądowy i przykładowy charakter.
Zaleca się ich rozwinięcie w sposób szczegółowy, poprzez opisanie:

a)     pożądanego sposobu postępowania procesora (np. jeśli chodzi o raportowanie incydentów bezpieczeństwa),

b)    czasu podejmowania przez niego określonych działań,

c)     częstotliwości przeprowadzania audytów, przedstawiania administratorowi rekomendacji itd.

7.

Paragraf 7 umowy powierzenia danych do przetwarzania

  1. Procesor po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
  2. Administrator informuje procesora o podjętej decyzji dotyczącej usunięcia lub zwrócenia danych w formie pisemnej, w terminie … dni przed planowanym terminem zakończenia świadczenia usług związanych z przetwarzaniem.
  3. W przypadku zaistnienia okoliczności stanowiących podstawę do wypowiedzenia przez administratora niniejszej umowy ze skutkiem natychmiastowym administrator informuje procesora o podjętej decyzji dotyczącej usunięcia lub zwrócenia danych niezwłocznie (lub opcjonalnie: informuje procesora o podjętej decyzji dotyczącej usunięcia lub zwrócenia danych wraz z dokonaniem wypowiedzenia).

Umowa powinna określać: sposób zwrotu danych, w tym także warunki ewentualnej zmiany tego sposobu (czy administrator może dokonać takiej zmiany jednostronnie), lub zawierać postanowienia dotyczące sposobu jego określania.

8.

Paragraf 8 umowy powierzenia danych do przetwarzania

  1. Procesor udostępnia administratorowi na jego polecenie wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
  2. Procesor udostępnia informacje, o których mowa w punkcie 2 niniejszego paragrafu, w formie pisemnej (lub opcjonalnie: w formie elektronicznej na adres e-mail: ………………………), niezwłocznie po otrzymaniu takiego polecenia.
  3. Jeśli polecenie administratora – w ocenie procesora – narusza przepisy rozporządzenia ogólnego[8], przepisy Unii lub państwa członkowskiego o ochronie danych, procesor niezwłocznie informuje o tym administratora.
 

Źródło: opracowanie własne autorów.

Wielu administratorów, zamiast korzystać z umów indywidualnych, z pewnością chętnie sięgnie po standardowe klauzule umowne, jeśli takie zostaną określone przez Komisję czy przyjęte przez organ nadzorczy. RODO takie rozwiązanie przewiduje (art. 28 ust. 7 i 8 RODO), jednak dziś trudno przewidzieć, kiedy takie klauzule umowne mogą się pojawić. Obecnie administratorom pozostaje więc głównie przygotowanie indywidualnych umów powierzenia.

Umowa powierzenia także w formie elektronicznej

Forma umowy powierzenia, zgodnie z art. 28 ust. 9 RODO, ma być pisemna, w tym dopuszcza się formę elektroniczną, co jest istotnym złagodzeniem wymogów co do formy i ma istotne znaczenie praktyczne[9]. Za K. Witkowską-Nowakowską należy przy tym wskazać, że z uwagi na cel regulacji oraz specyfikę prawa europejskiego za wystarczające należy uznać spełnienie wymogów tzw. formy dokumentowej[10], wprowadzonej do polskiego porządku prawnego w 2016 roku poprzez nowelizację przepisów Kodeksu cywilnego (kc).

Artykuł 77² kc: Do zachowania dokumentowej formy czynności prawnej wystarcza złożenie oświadczenia woli w postaci dokumentu, w sposób umożliwiający ustalenie osoby składającej oświadczenie.

Artykuł 77³ kc: Dokumentem jest nośnik informacji umożliwiający zapoznanie się z jej treścią.

 

[1] Więcej i podobnie na ten temat zob. J. Byrski, Umowne powierzenie do przetwarzania danych osobowych w ustawie o ochronie danych osobowych, dyrektywie 95/46 i w ogólnym rozporządzeniu o ochronie danych, [w:] G. Sibiga (red.), Ogólne rozporządzenie o ochronie danych. Aktualne problemy prawnej ochrony danych osobowych 2016, „Monitor Prawniczy” 20/2016, s. 35–44 oraz K. Witkowska-Nowakowska, [w:] E. Bielak-Jomaa, D. Lubasz (red.), Ogólne rozporządzenie o ochronie danych. Komentarz, Warszawa 2017 r., s. 636.

[1]Umowne powierzenie do przetwarzania danych osobowych w ustawie o ochronie danych osobowych, dyrektywie 95/46 i w ogólnym rozporządzeniu o ochronie danychOgólne rozporządzenie o ochronie danych. Aktualne problemy prawnej ochrony danych osobowych 2016Ogólne rozporządzenie o ochronie danych. Komentarz

[2] J. Byrski, Umowne powierzenie…, s. 41.

[2]Umowne powierzenie…

[3] Tak też K. Witkowska-Nowakowska, [w:] E. Bielak-Jomaa, D. Lubasz (red.), Ogólne rozporządzenie…, s. 639.

[3]Ogólne rozporządzenie…,

[4] Tamże.

[5] Tak też K. Witkowska-Nowakowska, [w:] E. Bielak-Jomaa, D. Lubasz (red.), Ogólne rozporządzenie…, s. 646–647. Na temat konstrukcji i klauzul stosowanych w dotychczasowych umowach powierzenia zob. również T. Banyś, J. Łuczak, Ochrona danych osobowych w praktyce. Jak uniknąć błędów i ich konsekwencji prawnych, wyd. 3, Wrocław 2017, s. 245–251.

[5]Ogólne rozporządzenieOchrona danych osobowych w praktyce. Jak uniknąć błędów i ich konsekwencji prawnych

[6] Pojęcie procesora należy wprowadzić w umowie przy określeniu jej stron, nie jest to bowiem pojęcie legalne (nie jest używane na gruncie RODO).

[7] Skrót „RODO” należy wprowadzić i rozwinąć w umowie.

[8] Pojęcie „rozporządzenie ogólne” należy wprowadzić i rozwinąć w umowie.

[9] K. Witkowska-Nowakowska, [w:] E. Bielak-Jomaa, D. Lubasz (red.), Ogólne rozporządzenie…, s. 636.

[9]Ogólne rozporządzenie…

[10] Tamże, s. 637. 

Artykuł powstał przy współautorstwie dr Tomasza Banysia, doktora nauk prawnych, adwokata, który wiedzę prawniczą z zakresu ochrony danych osobowych łączy z wieloletnim doświadczeniem z zakresu informatyki oraz zarządzania bezpieczeństwem.

Podstawa prawna: 
  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich  danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Monika Brzozowska-Pasieka

Autor: Joanna Łuczak-Tarka

doktor nauk prawnych, prawnik w Lubasz i Wspólnicy – Kancelaria Radców Prawnych sp. k., członek Rady Programowej Centrum Ochrony Danych Osobowych i Zarządzania Informacją UŁ, nauczyciel akademicki, ekspert z zakresu ochrony danych osobowych i dostępu do informacji publicznej

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel