Umowa powierzenia danych według RODO

2 marca 2018
/

RODO - dla administratorów danych osobowych oznacza nową rzeczywistość w aspekcie umów powierzenia danych. Mocno uszczegóławia elementy, które umowa powierzenia powinna zawierać. Mowa tutaj o art. 28 RODO, określającym podstawowy katalog obligatoryjnych zapisów umowy powierzenia.

Należy zachować szeroko pojętą ostrożność, gdyż niedostosowanie zapisów umowy do nowych wymagań może zrodzić szereg negatywnych konsekwencji, między innymi w postaci wysokich kar pieniężnych - zarówno po stronie administratora, jak i podmiotu przetwarzającego.

Powierzenie danych

Innowacją na gruncie RODO jest obowiązek leżący po stronie administratora danych, polegający na sprawdzeniu podmiotu, któremu mają zostać powierzone dane. Zgodnie z art. 28 ust. 1 RODO administrator powinien korzystać wyłącznie z usług podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Zmiana ta nadaje administratorowi danych swoiste uprawnienie do kontroli podmiotu przetwarzającego w zakresie zgodności jego działalności z przepisami RODO i obowiązującymi wymogami w zakresie ochrony praw osób, których dane są przetwarzane.

Co powinna zawierać umowa powierzenia?

Przechodząc do zakresu przedmiotowego umowy powierzenia należy zauważyć, że jej treść powinna zawierać następujące elementy:

  • przedmiot przetwarzania,
  • czas trwania przetwarzania,
  • charakter i cel przetwarzania,
  • rodzaj danych osobowych,
  • kategorię osób, których dane dotyczą,
  • obowiązki i prawa administratora,
  • obowiązki podmiotu przetwarzającego.

Podobnie jak w przypadku umów powierzenia zawartych w obowiązującym stanie prawnym, tak i przy umowach zawartych po dacie rozpoczęcia obowiązywania RODO, należy określić przedmiot przetwarzania, jego czas, cel oraz charakter. W umowie powierzenia niezbędne jest wskazanie rodzaju powierzonych danych osobowych (danych zwykłych lub wrażliwych). Z kolei wymóg wskazania osób, których dane dotyczą, to nic innego jak wyróżnienie w umowie określonej grupy osób, których dane osobowe są powierzane, ze względu na łączące ich kryterium (np. pracownicy administratora).

RODO wprowadza nowy wymiar współpracy administratora danych z podmiotem przetwarzającym. Od 25 maja 2018 r. podmiot przetwarzający w miarę możliwości, biorąc pod uwagę charakter przetwarzania, pomaga administratorowi danych w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą.

RODO werbalizuje również obowiązek usunięcia lub zwrotu wszelkich danych osobowych, a także usunięcia wszelkich ich istniejących kopii przez podmiot przetwarzający po zakończeniu przez niego świadczenia usług związanych z przetwarzaniem, chyba że prawo Unii lub prawo państwa członkowskiego nakazuje przechowywanie danych osobowych. W treści umowy powierzenia swoje pełne odzwierciedlenie powinien znaleźć również minimalny zakres obowiązków podmiotu przetwarzającego, zawarty w art. 28 ust. 3 zd. 2 RODO.

Kiedy stosować umowę powierzenia?

W realiach polskiej gospodarki rynkowej wiele firm korzysta z usług innych przedsiębiorstw, wykonujących na ich zlecenie strategiczne usługi związane z chociażby księgowością czy BHP. W toku wykonywanych usług zleceniodawcy często bez ograniczeń przekazują firmom zewnętrznym dane pracowników, których zatrudniają, czy – w przypadku świadczenia usług marketingowych - dane swoich klientów. W takich przypadkach zleceniodawca, jako administrator danych osobowych, jest zobowiązany do zawarcia umowy powierzenia z firmą zewnętrzną jako „podmiotem przetwarzającym”. Na wyróżnienie zasługują następujące przykłady zastosowania umów powierzenia danych osobowych:

  • zewnętrzna obsługa BHP,
  • zewnętrzna obsługa ABI a w przyszłości IOD,
  • korzystanie z usług zewnętrznej księgowości,
  • usługi związane z wypożyczaniem przestrzeni serwerowej,
  • korzystanie z usług zewnętrznego archiwum,
  • zewnętrzny dział prawny.

Czas goni przedsiębiorców

Przepisy RODO regulują treść umów powierzenia w dużo szerszym zakresie, niż miało to miejsce w dotychczasowym stanie prawnym. Zawarcie stosownej umowy w formie pisemnej jest obowiązkiem, a nie uprawnieniem administratora danych i podmiotu przetwarzającego. Czasu do rozpoczęcia obowiązywania przepisów RODO pozostało niewiele, administratorzy danych powinni zatem jak najszybciej stworzyć nowe wzory umów powierzenia oraz zweryfikować już zawarte umowy pod kątem nowych przepisów i aneksować je najpóźniej do dnia 25 maja 2018 r.