Kilka słów wstępu
Umowa powierzenia przetwarzania danych osobowych jest powszechnie stosowanym dokumentem, który umożliwia administratorowi legalne przekazanie podmiotowi trzeciemu danych osobowych, celem ich przetwarzania. Tego typu umowa staje się niezbędna, w szczególności, gdy firma lub organizacja decyduje się powierzyć przetwarzanie danych osobowych w ramach zleconych usług informatycznych, przechowywania danych w chmurze, czy obsługi kadrowo-płacowej. W praktyce, najczęściej spotykane są umowy powierzenia przetwarzania danych osobowych mające charakter niesamoistny, tzn. gdy umowa powierzenia danych osobowych jest częścią i konsekwencją zawarcia innej umowy głównej łączącej strony.
Należy pamiętać, że treść umowy powierzenia przetwarzania danych nie jest do końca dowolna, ponieważ Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.) (dalej: „RODO”) określa konkretne elementy, które powinna uregulować. Przed zawarciem umowy warto dokładnie zapoznać się z wymogami, tak aby zabezpieczyć nie tylko interesy obu stron, ale przede wszystkim odpowiednio zabezpieczyć dane osób, które mają być przetwarzane przez podmiot zewnętrzny.
Jakie postanowienia umowne są konieczne według RODO?
Zgodnie z RODO, umowa powierzenia przetwarzania danych osobowych powinna zostać zawarta na piśmie i zawierać postanowienia, określające co najmniej:
- Przedmiot przetwarzania – czyli ogólnie określać dane, które będą powierzone podmiotowi trzeciemu oraz wskazywać kontekst ich powierzenia, np. w związku i w ramach wykonania umowy głównej;
- Czas trwania przetwarzania – zwykle będzie to okres, który wynika z realizacji umowy głównej, jednak może też obejmować czas po zakończeniu współpracy w związku z obowiązkami wynikającymi z przepisów prawa;
- Charakter przetwarzania – warto tutaj wskazać na formę przetwarzania, np. elektroniczną lub dokumentową i określić częstotliwość przekazywania danych;
- Cel powierzenia danych – w umowie należy określić przyczynę powierzenia danych, którą może być właśnie wykonanie umowy głównej;
- Rodzaj danych osobowych – w umowie należy również określić, jakie kategorie danych osobowych będą przetwarzane, np. imię, nazwisko, adres, ale także dane szczególnej kategorii, np. zdrowotne;
- Kategorie osób, których dane dotyczą – w umowie należy wskazać grupę osób, których dane będą przetwarzane, np. pracowników, kontrahentów;
- Prawa i obowiązki administratora – do obowiązków umownych administratora można zaliczyć, np. sposób przekazywania danych osobowych do przetwarzania, obowiązek współpracy, w szczególności udzielania niezbędnych informacji do wykonania umowy, zapłata wynagrodzenia;
- Obowiązki podmiotu przetwarzającego – w tym zakresie RODO wyszczególnia konkretne postanowienia umowne odnoszące się do obowiązków podmiotu przetwarzającego, które musza znaleźć się w umowie, np. zapewnienie podmiotu przetwarzającego, że osoby upoważnione do przetwarzania danych osobowych będą zobowiązane do zachowania tajemnicy lub będą podlegać odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy, zobowiązania się do zwrotu i usunięcia danych po zakończeniu trwania umowy, czy umożliwienia administratorowi wykonania audytu.
Dodatkowe postanowienia, które warto mieć na uwadze
W umowie powierzenia przetwarzania danych warto przewidzieć również inne, dodatkowe postanowienia, które zabezpieczą interesy administratora, w szczególności:
- Kary umowne – w przypadku naruszenia warunków umowy przez podmiot przetwarzający, np. przez nieuprawnione udostępnienie danych osobowych;
- Zabezpieczenie odpowiedzialności za kary nałożone przez organ nadzoru – w umowie warto przewidzieć postanowienie zobowiązujące podmiot przetwarzający do pokrycia całości kar nałożonych na administratora z powodu naruszenia przepisów RODO, za które rzeczywiście odpowiada podmiot przetwarzający;
- Odpowiedni termin poinformowania o naruszeniach – w umowie warto wskazać odpowiedni termin na przekazanie przez podmiot przetwarzający informacji o ewentualnych naruszeniach bezpieczeństwa danych osobowych, które mogą mieć miejsce w trakcie przetwarzania;
- Warunki wypowiedzenia umowy – strony powinny ustalić okoliczności, które umożliwiają zakończenie współpracy;
- Kwestia prowadzenia kontroli – strony powinny przewidzieć postanowienia dotyczące kontroli i przeprowadzania audytu w podmiocie przetwarzającym;
- Zobowiązanie przetwarzającego do pomocy administratorowi w realizacji praw osób, których dane dotyczącą – w umowie możliwe jest zobowiązanie przetwarzającego do pomagania administratorowi w wywiązywaniu się przez administratora z obowiązku odpowiadania na żądania osoby, której dane dotyczą w zakresie wykonywania jej praw takich jak, np. udzielania dostępu do danych, ich sprostowania, czy ograniczenia ich przetwarzania.
Podsumowanie
Prawidłowo skonstruowana umowa powierzenia przetwarzania danych zapewnia nie tylko zgodność z przepisami prawa, ale także daje administratorowi narzędzia do egzekwowania odpowiednich działań w przypadku naruszenia zasad ochrony danych osobowych. Warto poświęcić odpowiednią uwagę każdemu szczegółowi umowy, aby uniknąć negatywnych konsekwencji prawnych związanych z niewłaściwym przetwarzaniem danych. Administrator powinien zawsze upewnić się, czy podmiot przetwarzający, któremu zamierza udzielić dostępu do danych daje „wystarczające gwarancje” należytego wykonania umowy. Przed podpisaniem umowy warto zapytać potencjalnego kontrahenta czy ma, np. zatwierdzony mechanizm certyfikacji, co w przypadku ewentualnej kontroli mogłoby stanowić dowód wywiązywania się z obowiązków przez administratora.
Autorem artykułu jest Aplikantka adwokacka Zuzanna Łoś oraz Aplikantka adwokacka Mariola Połeć.