Umowa o powierzenie jest umową, która gdyby nie RODO nie znajdowałaby się w orbicie zainteresowań przedsiębiorców. Obecnie jednak jest ona niezbędna a brak jej zawarcia może rodzić poważne konsekwencje. Dlatego też niniejszy artykuł ma przybliżyć specyfikę tej umowy i uczynić ją chociaż trochę bardziej przystępną.

Czym jest umowa powierzenia przetwarzania danych osobowych

Umowa o przetwarzaniu danych osobowych jest istotna w związku z wejściem w życie „Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych…”, czyli tzw. RODO. Umowa taka nie jest warunkiem przekazania danych osobowych, co oznacza, że nie z chwilą zawarcia umowy następuje przepływ danych między podmiotami. Nie zmienia to faktu, że umowa ta jest konieczna celem uniknięcia sankcji związanej z przekazywaniem danych bez takowej umowy. Brak zawarcia takiej umowy pomiędzy administratorem i podmiotem przetwarzającym, którzy do jej zawarcia są zobowiązani może skutkować nałożeniem na podmioty administracyjnej kary pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Na pierwszy rzut oka widać, że mamy do czynienia ze sporymi sankcjami. Stąd też warto zaczerpnąć porady specjalisty co do konieczności zawarcia takiej umowy ale także co do jej treści, by nie narazić się na jej nieważność.

Kogo dotyczy zawarcie umowy

Na początek należy wyjaśniać kim jest podmiot przetwarzający. Przez podmiot przetwarzający należy rozumieć osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Ogólnie zatem można ująć, że podmiotem przetwarzającym jest podmiot zewnętrzny, który działa w imieniu i na rzecz administratora. Ważnym jest, że to nie podmiot przetwarzający określa cele i sposób przetwarzania danych, gdyż to jest rola administratora.

Powierzenie przetwarzania danych osobowych

W tym miejscu należy się zastanowić czym jest także powierzenie przetwarzania danych osobowych. Istotą tego zagadnienia jest to, że jeżeli dane przekazujemy innemu podmiotowi, który także jest administratorem danych to wówczas nie powierzamy przetwarzania danych osobowych a je udostępniamy. Jest to sytuacja, w której zawarcie omawianej umowy nie będzie konieczne.

Administrator, a podmiot przetwarzający

Jest to istotne rozróżnienie z punktu widzenia zawarcia umowy o powierzenie. Zatem możemy wyróżnić trzy sytuacje, które będą decydowały o tym czy mamy do czynienia z administratorem danych

  1. Jeżeli przepis prawa wprost wskazuje, że dany podmiot jest administratorem danych osobowych.
  2. Gdy kontrola nad przetwarzaniem danych osobowych wynika z dorozumianej kompetencji.
  3. Gdy kontrola nad przetwarzaniem danych wynika z faktycznie podejmowanych czynności.

Jak widać powyższe przesłanki określają administratora zarówno w sposób szczególny jak i bardzo ogólny. Konsekwencją tego jest i tak konieczność każdorazowego badania wpływu podmiotu na określanie celu i sposobu przetwarzania danych osobowych. Stąd w praktyce może to przysporzyć wiele kłopotów, więc by ich uniknąć warto skorzystać z pomocy prawnika.

Katalog postanowień obowiązkowych

Art. 28 RODO, określa podstawowy katalog obligatoryjnych postanowień  umowy powierzenia. Warto zaznaczyć jednak, że sam przepis niewiele mówi w tym zakresie a jego interpretacja stanowi realny problem.

Na ten moment nie istnieje sztywny katalog klauzul, można wskazać jednak kilka, które są niezbędne by można mówić o prawidłowej umowie powierzenia.

W każdej umowie powinny znaleźć się następujące klauzule:

  1. Prawa i obowiązki administratora oraz podmiotu przetwarzającego .
  2. Przedmiot i czas trwania przetwarzania.
  3. Charakter i cel przetwarzania.
  4. Rodzaj danych osobowych oraz kategorie osób, których dane dotyczą.
  5. Zapewnienie poufności danych osobowych podlegających przetwarzaniu.
  6. Określenie warunków bezpieczeństwa przetwarzania danych osobowych (oświadczenie o posiadanych środkach technicznych gwarantujących bezpieczeństwo jak i wymaganych szkoleniach).
  7. Wskazanie podmiotów przetwarzających (w tym wskazanie osoby będącej podwykonawcą przetwarzania z ewentualnym wyrażeniem zgody na takie przetwarzanie przez administratora).
  8. Prawo do informowania osób, których dane dotyczą.
  9. Obowiązek informowania o naruszeniach bezpieczeństwa danych osobowych.
  10.   Określenie środków bezpieczeństwa.
  11.   Usunięcie danych po zakończeniu przetwarzania danych.

Powyżej wskazano klauzule, które warto by znalazły się w umowie o powierzenie, chociaż oczywiście może być wzbogacona o szereg innych postanowień, często zależnych od sytuacji.

Podsumowanie

Umowa powierzenia przetwarzania danych osobowych jest umową, której zawarcie jest konieczne jeżeli powierzamy przetwarzanie danych osobowych innemu podmiotowi. Jej zawarcie ma na celu zabezpieczenie zarówno samych danych osobowych przed ich bezprawnym udostępnieniem jak i samego przedsiębiorcę przed niepożądanym działaniem podmiotów przetwarzających. Obowiązek zawarcia tej umowy wynika z przepisów RODO, które jednak nie precyzują wymogów stawianych takiej umowie, co może rodzić wiele trudności w jej stworzeniu. Dlatego też chcąc uchronić się przed naruszeniem danych osobowych jak również narażeniem na ich naruszenie warto skorzystać z pomocy prawnika, który specjalizuje się w tej materii.