Umowa powierzenia przetwarzania danych osobowych w 11 krokach
Administrator danych osobowych, który chce powierzyć dane osobowe firmie zewnętrznej, musi zawrzeć z nią umowę powierzenia przetwarzania danych osobowych. O umowie tej powiedziano i napisano już bardzo wiele, niemniej jednak nadal temat ten jest problematyczny w praktyce, czego dowodzą kary wymierzane przez Prezesa UODO. Podpowiadamy, jak zawrzeć umowę powierzenia przetwarzania danych i prezentujemy przykładowe rozwiązania.
Krok 1. Sprawdź, czy powierzenie jest konieczne
Pod pojęciem powierzenia przetwarzania danych kryje się w pewnym sensie outsourcing ich przetwarzania. Firma, której klienci przekazali dane, może zlecić wykonywanie obowiązków związanych z ich przetwarzaniem innemu podmiotowi. Podmiot ten staje się wówczas podmiotem przetwarzającym. Przetwarza on dane osobowe wyłącznie w imieniu administratora i w celach przez niego określonych np. w ramach świadczenia usług na rzecz administratora. Właśnie wtedy należy zawrzeć umowę powierzenia przetwarzania danych.
Powierzenie nie jest natomiast konieczne w przypadku, gdy dane osobowe są przekazywane:
- podmiotowi, który legitymuje się podstawą ich przetwarzania (dochodzi wówczas do ich udostępnienia),
- osobie, która przetwarza je na polecenie administratora, będąc usytuowana w ramach jego struktury (wtedy upoważnia się ją do przetwarzania danych).
Kiedy zawrzeć umowę powierzenia a kiedy udostępnić dane lub upoważnić do ich przetwarzania? Przeczytaj poniższe artykuły:
- Udostępnienie, powierzenie przetwarzania czy upoważnienie – w tabeli
- Udostępnić dane osobowe czy powierzyć ich przetwarzanie? 10 rozwiązań w różnych stanach faktycznych (cz. I)
- Udostępnić dane osobowe czy powierzyć ich przetwarzanie? Poznaj kolejne rozwiązania w różnych stanach faktycznych (cz. II)
- Powierzenie przetwarzania danych w służbie zdrowia
- Umowa zlecenia a powierzenie przetwarzania danych – w jakich przypadkach
Krok 2. Zweryfikuj potencjalnego procesora
Kolejny krok jest niestety często pomijamy, a to niestety błąd, który może skutkować ukaraniem przez Prezesa UODO. Przekonał się o tym jeden z ośrodków kultury, który nie zweryfikował procesora przed zawarciem umowy powierzenia przetwarzania danych. Warto przy tym mieć świadomość, że administrator ponosi odpowiedzialność za uchybienia, których dopuścił się procesor.
Administrator może powierzyć dane osobowe tylko takiemu podmiotowi, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, tak aby przetwarzanie:
- spełniało wymogi RODO,
- chroniło prawa podmiotów danych.
Jak to zrobić? Najlepiej przygotować listę pytań do procesora. Ewentualnie można uzgodnić z nim przeprowadzenie audytu przed zawarciem umowy.
Jak sprawdzić potencjalnego procesora? Skorzystaj z listy kontrolnej>>
Krok 3. Zredaguj komparycję i preambułę
W kolejnym kroku rozpoczynamy przygotowanie projektu umowy powierzenia przetwarzania danych. Umowa taka musi regulować:
- przedmiot przetwarzania,
- czas trwania przetwarzania,
- charakter i cel przetwarzania,
- rodzaj danych osobowych,
- kategorie osób, których dane dotyczą,
- obowiązki i prawa administratora i procesora.
Podstawowe obowiązki i oświadczenia stron powinny odpowiadać treści art. 28 ust. 3 RODO. Zgodnie z tym przepisem umowa powierzenia przetwarzania danych musi przewidywać:
- uzależnienie przetwarzania danych osobowych wyłącznie od udokumentowanego polecenia administratora,
- zobowiązanie procesora, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
- obowiązek procesora do podejmowania wszelkich środków bezpieczeństwa zgodnie z art. 32 RODO;
- przestrzeganie warunków korzystania z usług innego podmiotu przetwarzającego;
- obowiązek procesora wspierania administratora w zakresie realizacji obowiązku odpowiadania na żądania podmiotów danych;
- wsparcie dla ADO w zakresie realizacji obowiązków określonych w art. 32-36 RODO;
- obowiązek usunięcia lub zwrócenia danych osobowych (w tym kopii) po zakończeniu świadczenia usług związanych z przetwarzaniem (zależnie od decyzji administratora)
- udostępnianie ADO wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO
- możliwość przeprowadzania przez administratora audytów, w tym inspekcji u procesora.
W tym i w kolejnych krokach odniesiemy się do wybranych postanowień w umowach powierzenia.
Redagowanie umowy należy zacząć od jej nazwy oraz oznaczenia stron. Poprawnym tytułem może być naturalnie „Umowa powierzenia przetwarzania danych osobowych”. Wskazując strony umowy, można je nazwać np. administratorem (firma medyczna – administrator danych powierzający ich przetwarzanie podmiotowi trzeciemu) i podmiotem przetwarzającym lub procesorem (podmiot trzeci – spółka informatyczna).
W umowie można także zawrzeć preambułę wyjaśniającą cel jej zawarcia.
Przykład
Preambuła
„Strony Umowy zamierzają zawrzeć umowę, na mocy której Administrator będzie świadczyć usługi serwisu informatycznego na rzecz Procesora. W związku z powyższym Administrator zamierza powierzyć przetwarzanie danych osobowych swoich klientów oraz kontrahentów (zwanych dalej „danymi osobowymi”) Procesorowi w zakresie określonym w Umowie.
Niniejszym strony postanowiły, co następuje: (...)”
Krok 4. Określ przedmiot przetwarzania
Na początku pierwszego paragrafu trzeba umieścić to, co najważniejsze, czyli przedmiot przetwarzania:
Przykład
„Przedmiotem Umowy jest określenie zasad i warunków współpracy pomiędzy Stronami w zakresie przetwarzana przez Procesora danych osobowych. Administrator powierza Procesorowi przetwarzanie danych osobowych w celu umożliwienia świadczenia usługi serwisu informatycznego na rzecz Administratora”.
Krok 5. Wskaż miejsce przetwarzania
Ważne jest też określenie miejsca przetwarzania danych przez procesora.
Przykład
„Dane osobowe będą przetwarzane przez Procesora we wskazanej w niniejszej Umowie siedzibie oraz innych lokalizacjach Procesora, w tym w systemie informatycznym. Zmiana miejsca przetwarzania danych osobowych wymaga uprzedniej, pisemnej zgody Administratora.”
Krok 6. Ureguluj kwestię osób przetwarzających dane z ramienia procesora
W umowie należy zawrzeć postanowienia dotyczące konkretnych osób, które w ramach struktur Procesora będą miały dostęp do danych:
Przykład
„Procesor wyznacza osoby upoważnione do dostępu i przetwarzania danych osobowych wymienione w załączniku nr […] do Umowy. Procesor zobowiązuje się do przekazania Administratorowi w ciągu 5 dni roboczych od doręczenia pisemnego żądania Administratora aktualnej ewidencji osób upoważnionych do dostępu do danych osobowych według wzoru stanowiącego załącznik nr […]”.
„Procesor zobowiązuje się dopuszczać do przetwarzania powierzonych danych wyłącznie osoby posiadające upoważnienie wydane przez Procesora, zobowiązane do zachowania w tajemnicy przetwarzanych danych osobowych”.
„Procesor zobowiązuje się przed dopuszczeniem do przetwarzania danych osobowych do przeszkolenia w zakresie ochrony danych osobowych każdej osoby związanej pośrednio bądź bezpośrednio z wykonywaniem Umowy, jeżeli osoba taka nie została do tej pory przeszkolona z zakresu przetwarzania danych osobowych”.
Krok 7. Nie zapomnij o regulacjach wewnętrznych
Jeżeli dana firma posiada politykę bezpieczeństwa, instrukcję zarządzania systemami informatycznymi lub inną dokumentację ODO, wówczas administrator powinien znać ich zapisy.
Można to uregulować w następujący sposób:
Przykład
„Jako załączniki nr […] i nr […] strony dołączają obowiązujące u Procesora dokumenty w postaci – odpowiednio – polityki bezpieczeństwa danych osobowych oraz instrukcji zarządzania systemem informatycznym. W razie braku zastrzeżeń Administratora do przekazanej dokumentacji Procesor uprawniony będzie do rozpoczęcia przetwarzania danych osobowych, w przypadku zaś zastrzeżeń Administratora wskaże obszary wymagające zmiany bądź uzupełnienia dokumentacji przez Procesora w terminie uzgodnionym przez strony, jednakże nie dłuższym niż 21 dni, pod rygorem natychmiastowego rozwiązania umowy.
Procesora zobowiązuje się do przestrzegania postanowień tych dokumentów w całym okresie obowiązywania Umowy. Wszelkie zmiany powyższych dokumentów wymagają pisemnej akceptacji Administratora”.
Krok 8. Zabezpiecz swój interes, przewidując odpowiedzialność procesora
Umowa powinna przewidywać, że:
Przykład
„Gdy osoba trzecia będzie dochodzić od Administratora odszkodowania za niezgodne z prawem przetwarzanie danych osobowych lub naruszenie dóbr osobistych lub inne czyny związane z posiadaniem i wykorzystaniem danych osobowych, Procesor będzie współdziałać z Administratorem w celu rozstrzygnięcia sporu na korzyść Administratora, w tym udostępni wszelkie wymagane przez Administratora informacje i dokumenty związane ze sprawą”.
Warto też zastrzec obowiązek zapłaty kary umownej:
Przykład
„W przypadku gdy Administrator stwierdzi naruszenie przepisów RODO lub postanowień umowy, będzie uprawniony do żądania od Procesora zapłaty kary umownej w wysokości […] złotych za każdy przypadek naruszenia, co nie wyłącza prawa Administratora do dochodzenia odszkodowania na zasadach ogólnych”.
Krok 9. Ustal zasady podpowierzenia danych
Umowa musi również zawierać ograniczenia w zakresie podpowierzenia danych.
Przykład
„Procesor nie może powierzyć osobie trzeciej przetwarzania danych osobowych bez każdorazowej uprzedniej, pisemnej zgody Administratora.”.
Krok 10. Ustal przesłanki rozwiązania umowy
Umowa powierzenia powinna być zawarta na czas określony. Należy więc zawrzeć w niej okres przetwarzania powierzonych danych. To jednak nie wszystko. Warto także zastrzec sobie możliwie krótki okres jej rozwiązania. Pozwoli to uniknąć sytuacji, w której dane osobowe naszych klientów obsługuje podmiot, do którego straciliśmy zaufanie.
Przykładowe zapisy:
Przykład
„1. Umowa zostaje zawarta od dnia […] do dnia […].
Każda ze stron może rozwiązać Umowę w każdej chwili za uprzednim 7-dniowym wypowiedzeniem na piśmie.
Administrator zastrzega sobie prawo rozwiązania Umowy ze skutkiem natychmiastowym w przypadku rażącego naruszenia swoich obowiązków przez Procesora.
Najpóźniej w 7 dni po wygaśnięciu lub rozwiązaniu Umowy Procesor usunie dane osobowe powierzone przez Procesora ze swoich systemów informatycznych, kartotek, ksiąg i innych zbiorów (w tym także kopie tych danych) i przekaże te dane Administratora, chyba że bezwzględnie obowiązujące przepisy prawa zobowiązują Procesora do przechowywania tych danych.
Przez usunięcie danych osobowych, o którym mowa w ust. 4, należy rozumieć zniszczenie tych danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.”
Krok 11. Określ warunki audytu procesora
Jak wynika z art. 28 ust. 3 RODO, administrator musi zapewnić sobie możliwość audytowania procesora.
Przykład
„Administratorowi przysługuje w każdym czasie prawo do kontroli przetwarzania powierzonych danych osobowych, a w szczególności realizacji obowiązku zabezpieczenia tych danych. W ramach prawa kontroli Administrator może żądać od Procesora:
- udzielenia w terminie 7 dni pisemnych wyjaśnień,
- udostępnienia pomieszczeń i sprzętu Procesora, przy pomocy których przetwarzane są powierzone dane osobowe.
Procesor zobowiązany jest stosować się do wskazań Administratora mających na celu usunięcie stwierdzonych uchybień lub poprawę bezpieczeństwa przetwarzania powierzonych danych osobowych.”
Całość powinny uzupełniać typowe postanowienia występujące także w innych umowach, dotyczące zachowania poufności, wyznaczenia osób do kontaktu czy możliwości renegocjowania umowy.
Powyższe przykłady są tylko propozycjami wybranych postanowień umowy powierzenia. Proponujemy również skorzystanie z zamieszczonych w portalu wzorów umów powierzenia:
- ogólny wzór umowy powierzenia,
- umowa powierzenia zgodna ze standardowymi klauzulami umownymi – część I i część II
- umowa powierzenia zawierana z IOD,
- umowa powierzenia w związku z prowadzeniem BIP.
- umowa podpowierzenia.
- RODO na YouTube - ochrona danych osobowych jako obowiązek youtubera
- Biuletyn Informacji Publicznej - administrator musi zawrzeć umowę powierzenia przetwarzania danych
- RODO a KZP - zasady przetwarzania danych osobowych w kasie zapomogowo-pożyczkowej
- RODO w marketingu - ochrona danych osobowych przetwarzanych w celach marketingowych
- Kary za naruszenie RODO w Polsce - w jaki sposób ustala się ich wysokość
- Analiza ryzyka RODO zgodnie z wytycznymi ENISA
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
