Powierzenie przetwarzania danych osobowych zgodnie z RODO a udostępnienie. Przewodnik dla początkujących

Ucieczka od tematu danych osobowych w dzisiejszym świecie jest prawie niemożliwa. Każdego dnia tysiące przedsiębiorców przetwarza dane osobowe swoich klientów, kontrahentów, użytkowników. Często w ramach tych operacji dochodzi do powierzenia przetwarzania danych osobowych. Dobrze jest, gdy administratorzy danych robią to świadomie i udostępniają dane innym podmiotom na podstawie prawidłowo sporządzonej umowy.

Chcesz wiedzieć od podstaw co to jest powierzenie danych osobowych do przetwarzania? Jak to robić zgodnie z RODO? Jesteś we właściwym miejscu. To poradnik dla początkujących. Omówimy w nim najważniejsze kwestie związane z powierzeniem przetwarzania danych osobowych. I powiemy, jak zawrzeć umowę na przetwarzanie danych osobowych. 

Czym jest powierzenie przetwarzania danych osobowych?

Kiedy powierzasz przetwarzanie danych osobowych? Na przykład wtedy, gdy udostępniasz (przekazujesz) innej firmie dane osobowe swoich klientów, kontrahentów lub użytkowników. Najczęściej będzie tak, gdy współpracujesz z księgową, agencją marketingową, programistą albo doradcą. Ale musi być spełniony ważny warunek! Ta druga firma, czyli podmiot przetwarzający dane (albo inaczej procesor) musi działać na Twoje zlecenie – czyli na zlecenie administratora. Innymi słowy – musi działać w imieniu  administratora danych osobowych. Mówi o tym art. 4 pkt. 8 RODO (czyli Rozporządzenie 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE).

„podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

Dlaczego to takie ważne? Ponieważ kwestia w czyim imieniu działa podmiot przetwarzający, będzie miała zasadnicze znaczenie dla określenia, czy mamy do czynienia z powierzeniem danych do przetwarzania, czy z udostępnieniem danych. A może ze współadministrowaniem? Zgodnie z RODO każda z tych sytuacji ma bowiem inne znaczenie. Rodzi też inne obowiązki i konsekwencje dla administratora danych osobowych. 

Jak rozpoznać powierzenie przetwarzania danych osobowych?

Ustalenie czy będziesz powierzał dane osobowe do przetwarzania czy może udostępniał je na podstawie przepisów prawa, ma dla Ciebie jako administratora danych kluczowe znaczenie. Ponieważ do powierzenia przetwarzania danych osobowych mamy do czynienia tylko wtedy, gdy to administrator danych osobowych, przekazując dane innemu podmiotowi, decyduje o celach i sposobach przetwarzania danych osobowych. Mówiąc w skrócie, to administrator ustala, dlaczego i jak dane osobowe mają być przetwarzane. Wtedy podmiot przetwarzający tylko realizuje faktyczne czynności na danych osobowych. Na przykład wysyłając newsletter, księgując faktury z danymi kontrahentów czy administrując system informatyczny, w którym zapisane są dane osobowe użytkowników.

Czym się różni powierzenie przetwarzania danych osobowych od udostępnienia danych osobowych?

Podstawowe kryterium: kto decyduje o celach i środkach przetwarzania danych osobowych. Jeśli każdy z podmiotów samodzielnie ustala cele i sposoby przetwarzania danych, to przyjmuje się, że każdy z nich działa we własnym imieniu, więc każdy jest samodzielnym administratorem danych osobowych. Wówczas mamy do czynienia z udostępnieniem danych osobowych przez jednego administratora danych do drugiego. Często będzie tak na przykład w przypadku umowy z pocztą albo podmiotem obsługującym płatności.

Jeśli to jeden podmiot ustala dlaczego i jak dane jego klientów są przetwarzane, a drugi tylko wykonuje faktyczne operacje stosując się do zasad administratora danych i działając w jego imieniu, powiemy, że administrator powierzył przetwarzanie danych osobowych procesorowi. Rozróżnienie tego stanu ma kolosalne znaczenie. Ponieważ przepisy inaczej regulują kwestię powierzenia i udostępnienia.  

Decyduje stan faktyczny, a nie to, jak się strony umówiły

Niestety nie mamy dla Ciebie dobrej wiadomości. Czasami prawidłowe określenie relacji pomiędzy dwoma podmiotami, które pracują na tych samych danych osobowych, wymaga dogłębnej analizy prawnej oraz stanu faktycznego. To dlatego, że określenie stanu powierzenia przetwarzania danych osobowych a ich udostępnienia jest kwestią obiektywną. Nie tyle liczy się to, czego Ty chcesz jako administrator, ale jakie procesy zachodzą w praktyce. A więc w przypadku kontroli bada się, jak relacje między dwoma podmiotami przetwarzającymi dane rzeczywiście wyglądają, a nie jak strony się umówiły. 

Kiedy trzeba zawrzeć umowę powierzenia przetwarzania danych osobowych?

Gdy mamy do czynienia z udostępnieniem danych osobowych, umowa nie jest wymagana. To dlatego, że takie udostępnienie odbywa się wprost na podstawie przepisów prawa (RODO). Jeśli jednak dochodzi do powierzenia przetwarzania danych osobowych, wtedy trzeba zawrzeć umowę. Zawsze! Co więcej, nie będzie to dowolna umowa. RODO precyzuje jej zakres. Dopiero po spełnieniu podstawowych warunków, można w umowie dopisać pozostałe rzeczy, na które strony się umawiają. 

Zasady powierzenia przetwarzania danych osobowych

Gdy ustalisz już, że masz do czynienia z powierzeniem przetwarzania danych osobowych, to musisz zastosować się do kilku kluczowych zasad związanych z tym procesem. 

1. Przetwarzanie na podstawie umowy: Powierzenie przetwarzania danych osobowych musi być zawarte na piśmie, w formie umowy, między podmiotem powierzającym (administratorem danych) a podmiotem przetwarzającym (procesorem).
2. Ochrona danych: Podmiot przetwarzający musi dostosować swoje procedury do wymogów ochrony danych osobowych i zapewnić odpowiednie środki bezpieczeństwa.
3. Zaufanie i poufność: Podmiot przetwarzający musi zachować poufność danych osobowych i zapewnić, że tylko upoważnione osoby mają dostęp do tych danych.
4. Kontrola danych: Mimo że dane są przetwarzane przez podmiot przetwarzający, to administrator pozostaje odpowiedzialny za dane i ma obowiązek kontrolowania, jak są one przetwarzane. Procesor musi umożliwić administratorowi skuteczną kontrolę powierzonych danych osobowych. 

Komu i jak można powierzyć przetwarzanie danych osobowych?

Już z powyższych zasad wynika wskazówka dla administratorów, że na swoich podwykonawców, którym outsourcują usługi, powinni wybierać podmioty rzetelne, godne zaufania, z doświadczeniem w obsłudze danych osobowych. Przede wszystkim warto wybrać procesora, z którym administrator będzie miał dobry kontakt. Takiego, który ma wdrożone, potrafi przedstawić i opisać środki techniczne i organizacyjne służące zabezpieczeniu danych. Najlepiej jeszcze, gdyby taki procesor posiadał i sam przedstawił wzór umowy powierzenia przetwarzania danych osobowych. Będzie to oznaczało, że taki podmiot ma doświadczenie w pracy z danymi osobowymi i można mu zaufać. 

Aby powierzyć przetwarzanie danych osobowych, należy:

1. Wybrać odpowiedniego dostawcę: Wybierz podmiot przetwarzający, który jest zaufany i spełnia wymagania dotyczące ochrony danych. W szczególności musi on dawać gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, zabezpieczających przetwarzanie danych osobowych.
2. Zawrzeć umowę: Wspólnie z podmiotem przetwarzającym należy sporządzić i podpisać umowę na przetwarzanie danych osobowych, która określa prawa i obowiązki obu stron oraz zawiera wszystkie niezbędne elementy wymagane dla takiej umowy przez przepisy RODO.
3. Monitorować przetwarzanie: Podmiot powierzający musi nadzorować, czy dane są przetwarzane zgodnie z umową i obowiązującymi przepisami. Musi też szybko i sprawnie umożliwić administratorowi kontrolę przetwarzania danych osobowych. Szczególnie gdy sam administrator będzie podlegał kontroli właściwych organów w tym zakresie. 

Art. 28 ust. 1 RODO: Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie  pełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

Jak zawrzeć umowę na przetwarzanie danych osobowych?

Umowie przetwarzania danych osobowych poświęcono cały ust. 3 oraz 9 artykułu 28 RODO. Przede wszystkim umowa taka ma formę pisemną, w tym formę elektroniczną. W praktyce strony najczęściej podpisują własnoręcznie umowę. Nie można jednak skutecznie i legalnie powierzyć przetwarzania danych osobowych na podstawie umowy ustnej. Będzie to niezgodne z RODO i taki podmiot narazi się na konsekwencje prawne. 

RODO wymusza, aby umowa powierzenia danych osobowych miała określone elementy, czyli opisywała takie kwestie jak:

• przedmiot i czas trwania przetwarzania;
• charakter i cel przetwarzania;
• rodzaj danych osobowych i kategorie osób, których dane dotyczą;
• obowiązki i prawa administratora.

To jednak nie wszystko. W otwartym katalogu RODO wymienia dodatkowe wymagania w odniesieniu do podmiotu przetwarzającego. Niejako w ten sposób chroniąc administratora danych, a w praktyce – osób, których dane są przetwarzane.

Zgodne z RODO wymogi wobec procesora w umowie przetwarzania danych osobowych

I tak RODO wymaga, aby umowa zawierała w szczególności określone postanowienia wobec podmiotu przetwarzającego. Podmiot przetwarzający ma:

• przetwarzać dane osobowe wyłącznie na udokumentowane polecenia administratora. Dotyczy to też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (z pewnymi wyjątkami i obostrzeniami określonymi w tym przepisie).
• zapewnić, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
• podejmować wszelkie środki gwarantujące bezpieczeństwo przetwarzania, które opisuje art. 32 RODO;
• przestrzegać warunków korzystania z usług innego podmiotu przetwarzającego, określonych w art. 28 RODO;
• w miarę możliwości pomagać administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO;
• uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomagać administratorowi wywiązać się z obowiązków określonych w Sekcji 2 RODO o bezpieczeństwie danych osobowych oraz Sekcji 3 RODO o ocenie skutków dla ochrony danych i uprzednich konsultacjach;
• po zakończeniu świadczenia usług związanych z przetwarzaniem, zależnie od decyzji administratora, usunąć lub zwrócić mu wszelkie dane osobowe oraz usunąć wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
• udostępniać administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. RODO o powierzeniu przetwarzania danych osobowych oraz umożliwiać administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczyniać się do nich. 

Kup wzór Umowy powierzenia przetwarzania danych osobowych zgodny z RODO

Jesteś administratorem danych i chcesz powierzyć innej firmie dane osobowe Twoich klientów lub użytkowników do przetwarzania? A może jesteś procesorem i będziesz przetwarzać dane osobowe powierzone Ci przez kontrahenta? Kup i skorzystaj z “Umowy powierzenia przetwarzania danych osobowych wzór” od kancelarii armińska radcowie prawni.

Dzięki “Umowie powierzenia danych osobowych wzór” będziesz w zgodzie RODO i polskimi przepisami o ochronie danych osobowych. Wzór umowy zawiera wszystkie konieczne zgodnie z prawem elementy wskazane wyżej. Załącznikiem do umowy jest przykładowy spis środków technicznych i organizacyjnych, aby łatwiej było Ci wybrać i ułożyć relacje z procesorem. Jako dodatek dostaniesz także potrzebne wzory upoważnień i zobowiązania do zachowania tajemnicy. Niektóre kwestie, takie jak przekazanie danych np. do Stanów Zjednoczonych przy korzystaniu z takich usług jak Google Analytics czy Gmail, pozostawia decyzji stron, przewidując miejsce na zaznaczenie właściwej opcji.

• Kup wzór umowy powierzenia 

W podsumowaniu

Powierzenie danych osobowych do przetwarzania jest powszechną praktyką w dzisiejszym biznesie. Rzadko kiedy udaje się uniknąć zagadnień z tym związanych. Dlatego tak ważne jest zrozumienie zasad i obowiązków związanych z tym procesem. Kluczowego znaczenia nabiera zawarcie odpowiedniej umowy, aby zapewnić ochronę danych osobowych. Jeśli jednak nie jesteś pewien, jakiego rodzaju relacja tworzy się pomiędzy administratorem a innym administratorem lub procesorem, zasięgnij porady profesjonalisty. Potrzebujesz wsparcia prawnego w tym obszarze? Skontaktuj się z nami. 

Radczynie prawne z kancelarii armińska radcowie prawni mają doświadczenie w pracy nad procesami zarządzania danymi osobowymi. Znajdą stanowiska organów ochrony danych i są biegłe w procedurach administracyjnych, sądowych i korporacyjnych dotyczących danych osobowych.

Niniejszy artykuł ma wyłącznie funkcję informacyjną i publicystyczną i nie stanowi porady prawnej. Jest efektem pracy i wiedzy jego autora. Jeśli potrzebujesz porady prawnej lub oceny prawnej Twojej konkretnej sytuacji, skontaktuj się z radcą prawnym i poproś o indywidualną opinię.