Pan Nowak chciałby przygotować kampanię promocyjną dla swojego sklepu internetowego. W tym celu udał się do znanej agencji marketingowej. Dowiedział się, że będzie musiał zawrzeć z nią umowę o powierzenie przetwarzania danych osobowych. Niestety nie wyjaśniono mu czym jest i na czym polega ta umowa. Dlatego my postaramy się wyjaśnić podstawowe zagadnienia związane z tą umową. Na wstępie należy dodać, że umowa o powierzenie przetwarzania danych osobowych nie dotyczy tylko usług marketingowych, jak się później okaże, zawiera się nią m.in. także w w przypadku korzystania z usług hostingu, czy biura księgowego.

Kto przetwarza dane osobowe

Trzeba zauważyć, że zgodnie z przepisami administrator danych osobowych może albo samodzielnie przetwarzać te dane albo powierzyć tę czynność innemu podmiotowi.

Możliwość ta została przewidziana w  art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 1997 nr 133 poz. 883)[1]. Ustawodawca bowiem umożliwił administratorowi danych powierzenie przetwarzania danych osobowych innemu podmiotowi. Zastrzegł jednak, że powierzenie to następuje na podstawie umowy zawartej na piśmie (nazwijmy ją umową o powierzenie przetwarzania danych osobowych).

Stronami tej umowy jest z jednej strony administrator danych oraz inny podmiot przetwarzający dane osobowe, który w niniejszym artykule nazywać będziemy procesorem (od angielskiego słowa process oznaczającego m.in. przetworzyć, przetwarzać).[2]

Dla jasności na początku wyjaśnijmy kilka pojęć.

Pojęcia związane z powierzeniem przetwarzania danych osobowych

Zgodnie z ustawą o ochronie danych osobowych przetwarzanie danych osobowych polega na wykonaniu jakiekolwiek operacji na danych osobowych, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie.

Należy dodać, że administratorem danych jest podmiot, m.in. organ państwowy, osoba fizyczna i osoba prawna oraz jednostki organizacyjne niebędące osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych oraz mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej, decydujący o celach i środkach przetwarzania danych osobowych.

Cechy umowy o powierzenie przetwarzania danych osobowych

Strony umowy

Jak wcześniej już wspomniano stronami umowy o powierzenie przetwarzania danych osobowych są z jednej strony administrator danych osobowych, a z drugiej podmiot przetwarzający dane osobowe – processor.

Charakter umowy

Nie wchodząc w rozważania na temat kwalifikacji prawnej tej umowy (w doktrynie zgodnie uważa się, że ustawodawca na podstawie zasady swobody umów pozostawił stronom umowy wolność zdecydowania jaka to ma być umowa oraz jaką ma ona mieć treść; zastrzegł on jednak, że musi być w niej określony zakres (rodzaj operacji) oraz cel przetwarzania danych osobowych)[3]. W związku z tym należy zgodzić się z poglądem, że można założyć, iż najczęściej będzie to umowa o świadczenie usług, do której odpowiednio stosuje się przepisy dotyczące umowy – zlecenia.[4] Być może dlatego Naczelny Sąd Administracyjny w wyroku z dnia 31 stycznia 2012 r. (I OSK 1318/11), stwierdził, że instytucja powierzenia przetwarzania danych osobowych wymaga by zlecającym był właśnie administrator danych, czyli podmiot aktualnie przetwarzający dane osobowe, a nie podmiot mający przetwarzać dane, gdyż tylko przetwarzający dane osobowe decyduje, jak tego wymaga ustawowa definicja administratora danych, o celach i środkach przetwarzania danych, a więc szeregu składających się na ten proces czynności, które mają miejsce, a nie, które zostaną przyjęte.

Wymóg zgody osoby, której dane dotyczą

Przyjmuje się, że dla skutecznego zawarcia umowy o powierzenie przetwarzania danych osobowych nie jest wymagana zgoda osoby, której dane dotyczą. Stanowisko takie wyraził również Generalny Inspektor Danych Osobowych w decyzji z dnia 27 lipca 2005 r. (GI-DEC-DS-215/05), której stwierdzono, że należy zaznaczyć, iż w świetle postanowień ustawy o ochrony danych osobowych – art. 31 ust. 1 ustawy, administrator danych nie ma obowiązku powiadamiania osoby, której dane dotyczą o powierzeniu jego danych, a co za tym idzie nie musi on uzyskiwać od takie osoby odrębnej zgody na ww. powierzenie. Dla oceny legalności procesu przetwarzania danych poprzez powierzenie istotnym jest, czy takie powierzenie odbyło się zgodnie z zakresem oraz celem określonym w zawartej, pomiędzy podmiotem powierzającym a podmiotem, który ma przetwarzać dane osobowe, umowie.

Wymóg pisemności

Wspominaliśmy także, że ustawodawca wymaga, aby umowa o powierzenie przetwarzania danych osobowych została zawarta na piśmie. Jednakże nie przewiduje on żadnych skutków w sferze prawa cywilnego za niedochowanie tej formy, np. umowa zawarta w formie ustnej, czy też nieopatrzona  bezpiecznym podpisem elektronicznym weryfikowanym za pomocą ważnego kwalifikowanego certyfikatu, którego użycie powoduje zrównanie danych nim opatrzonych z dokumentem w formie pisemnej (zgodnie z ustawą z 18 września 2001 r. o podpisie elektronicznym (Dz.U. 2001 nr 130 poz. 1450 z późn. zm.) nie powoduje nieważności umowy. Dlatego zastrzeżenie formy pisemnej bez rygoru nieważności wywiera jedynie skutki w zakresie postępowania dowodowego (por. art. 74 Kodeksy Cywilnego).[5]

Podkreślić trzeba, że niedochowanie wymogu sporządzenia umowy o powierzenie przetwarzania danych osobowych na piśmie jest naruszeniem przepisów ustawy o ochronie danych osobowych i może wiązać się z sankcją – decyzją Generalnego Inspektora nakazującej przywrócenie stanu zgodnego z prawem (na podstawie art. 18 przytoczonej ustawy).[6]

Przedmiot umowy

Mogą nim być wszelkie operacje wykonywane na danych osobowych (a więc zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie). Dlatego w doktrynie zaznacza się, że w zakres tego pojęcia wchodzi hosting.[7] Warto również pamiętać o postanowieniu Sądu Najwyższego z dnia 11 grudnia 2000 roku (II KKN 438/00), w którym to SN wskazał, że również w przypadku, gdy administrator danych posługuje się innym podmiotem w celu usunięcia danych osobowych, powinien zawrzeć z nim umowę o przetwarzanie danych osobowych. W doktrynie podkreślono, że obowiązek zawarcia tej umowy powstaje również w stosunku do nośników danych osobowych (np. formularze, dyski, nośniki optyczne, kupony, zamówienia, wydruki, etc.). A także nie nie ma znaczenia prawnego, czy będą one nieuporządkowane, czy też uporządkowane w zestawy lub zbiory.[8]

Problem podwykonawców

W doktrynie dostrzega się zjawisko zlecania przez procesora zadań podwykonawcom, tzw. subprocessorom. Pomimo braku odpowiedniej regulacji w ustawie o ochronie danych osobowych, uważa się, że zjawisko subprocessoring’u będzie zgodne z przepisami, jeżeli:

  • w treści samej umowy powierzenia danych osobowych do przetwarzania wskazane zostaną co do tożsamości podmioty, które mogą działać jako podwykonawcy podmiotu przetwarzającego dane osobowe na zlecenie, albo
  • w toku wykonywania umowy powierzenia danych osobowych do przetwarzania, podmiot przetwarzający dane osobowe na zlecenie uzyska pisemną zgodę administratora danych osobowych na skorzystanie z usług wskazanego co do tożsamości podwykonawcy, albo
  • przetwarzanie danych osobowych przez podwykonawcę pozostaje w granicach celu i zakresu przetwarzania danych określonych w umowie powierzenia.[9]

Podsumowanie

W każdym przypadku gdy administrator danych pragnie przekazać przetwarzanie danych osobowych innemu podmiotowi zobowiązany jest zawrzeć z nim umowę o powierzenie przetwarzania danych osobowych. W celu ustrzeżenia się przed sankcją ze strony Generalnego Inspektora Ochrony Danych Osobowych umowa ta powinna zostać zawarta ma piśmie. Minimum, które powinna ona określać to rodzaje operacji na danych osobowych i cel przetwarzania  danych,  a  także  prawa  i  obowiązki zarówno administratora danych, jak i processora.[10]

 

Potrzebujesz pomocy przy umowie powierzenia przetwarzania danych osobowych? Napisz do nas na kontakt@regulaminowo.pl Nasi prawnicy czekają na Twoje pytanie.

 


[1] dalej zwana ustawą o ochronie danych osobowych, [2]  Barta P, Litwiński P., Ustawa o ochronie danych osobowych. Komentarz, 2013, [3]  Barta J., Fajgielski P., Markiewicz R., Ochrona danych osobowych. Komentarz., LEX, 2011, [4] Barta J., Fajgielski P., Markiewicz R., Ibidem, [5] Barta J., Fajgielski P., Markiewicz R., Ibidem, [6] Barta P, Litwiński P., Ibidem, [7] Barta P, Litwiński P., Ibidem, [8] Barta P, Litwiński P., Ibidem, [9] Barta P, Litwiński P., Ibidem [10] por. Wiewiórowski W. R., Umowa powierzenia, Przegląd Komunalny nr 8/2013, str. 65.