RODO: Umowa powierzenia przetwarzania danych osobowych

Opublikowano

W poprzednim wpisie z cyklu na temat RODO mogliście przeczytać na temat administratorów danych i nowych obowiązków nałożonych na nich przez RODO. Dziś natomiast skupimy się na temacie ściśle powiązanym z administratorami. Temat ten znacznie zyskuje na znaczeniu po wprowadzeniu nowych regulacji, dlatego warto poświęcić mu chwilę, aby zrozumieć różnice i relację między administratorami a nim. Przed Wami artykuł, którego bohaterem będzie podmiot przetwarzający, a razem z nim – umowa powierzenia przetwarzania danych.

Podmiot przetwarzający, zwany również procesorem, nie był do tej pory zdefiniowany w przepisach ustawy o ochronie danych osobowych. RODO przynosi pod tym względem zmianę, precyzyjnie regulując pozycję procesora i jego relacje z administratorem.

Kim jest podmiot przetwarzający?

Wyjdźmy na początek poza ramy prawne i zastanówmy się kim w rzeczywistości jest podmiot przetwarzający. Czy na co dzień mamy do czynienia z podmiotami przetwarzającymi? Jak najbardziej. Z podmiotami przetwarzającymi mamy do czynienia wszędzie tam, gdzie mamy do czynienia z outsourcingiem usług. Zewnętrzne biuro rachunkowe, które prowadzi naszą księgowość, firma rekrutacyjna, która prowadzi rekrutację nowych pracowników czy też agencja marketingowa, której powierzamy dane klientów, np. w celu wysyłki mailingu. W takich i wielu innych, podobnych przypadkach mamy do czynienia właśnie z sytuacją, gdy my jako administratorzy danych przekazujemy dane naszych klientów firmom partnerskim lub podwykonawcom (podmiotom przetwarzającym), które wykorzystują powierzone im dane w określonym celu.  My natomiast (nasza firma, spółka) pozostajemy nadal administratorem danych. Kluczową kwestią, którą wprowadza RODO jest ułożenie relacji właśnie między administratorem danych a procesorem.

Podmiot przetwarzający – co o nim mówi RODO?

Podmiot przetwarzający może przetwarzać dane zgodnie z ustaleniami i wytycznymi administratora danych osobowych. To właśnie administrator wyznacza cel i zakres dokonywania określonych operacji na danych. Procesor nie może wykorzystywać otrzymanych danych do swoich celów. Warto zapamiętać, że przekazanie danych do przetwarzania nie powoduje, że podmiot przetwarzający staje się automatycznie administratorem. Ciąży jednak na nim określona odpowiedzialność za powierzone mu dane.

Przepisy dotyczące podmiotu przetwarzającego wskazują już na wstępie, iż administrator powinien zadbać o to, aby procesorem był podmiot

„zapewniający wystarczające gwarancje wdrożenia odpowiednich srodków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dotyczą”.

Jednocześnie również na podmiocie przetwarzającym spoczywa obowiązek zapewnienia takich środków organizacyjnych i technicznych, aby operacje na danych osobowych były odpowiednio zabezpieczone. Co więcej – po zakończeniu współpracy, procesor ma obowiązek usunięcia lub zwrócenia danych administratorowi. Nie może więc przechowywać ich bez celu.

Umowa powierzenia przetwarzania danych osobowych – co powinna zawierać?

Umowa między administratorem a procesorem jest zdecydowanie najważniejszym ogniwem współpracy między nimi. Biorąc pod uwagę wymogi, jakie stawia RODO, umowa łącząca obie strony musi zapewniać ścisłą kooperację. Nie może więc dziwić, że RODO poświęca jej dosyć dużo miejsca i wskazuje na minimalny zakres elementów, które powinna ona zawierać. W umowie powierzenia przetwarzania danych osobowych powinny znaleźć się postanowienia mówiące o tym, że:

  • podmiot przetwarzający zobowiązuje się przetwarzać dane osobowe wyłącznie na udokumentowane polecenie administratora;
  • podmiot przetwarzający zapewnia zachowanie tajemnicy przez osoby upoważnione do przetwarzania danych osobowych.
  • procesor zapewnia podjęcie wszelkich środków wymaganych do bezpieczeństwa przetwarzania danych (szczegółowo wymienione m.in. w art. 32 RODO); procesor musi zapewnić taki sam stopień ochrony, do jakiego zobowiązany jest administrator;
  • procesor zobowiązuje się do pomocy administratorowi (dotyczy to w szczególności pomocy przez odpowiednie środki techniczne i organizacyjne, w celu wywiązania się przez administratora z obowiązku odpowiadania na żądania osoby, której dane dotyczą; pomoc taka powinna być zapewniona przez podmiot przetwarzający również w innych obowiązkach administratora, wymienionych w art. 32-36 RODO; oznacza to m.in. sytuacje zaistnienia naruszenia ochrony danych osobowych czy przypadki, gdzie występuje zwiększone ryzyko naruszenia praw lub wolności osób fizycznych – szczególnie w przypadku użycia nowych technologii;
  • procesor zobowiązuje się do usunięcia lub zwrotu danych osobowych po zakończeniu czynności związanych z ich przetwarzaniem;
  • podmiot przetwarzający zobowiązuje się do udostępniania wszelkich potrzebnych informacji administratorowi i do umożliwienia dokonania audytów.

Wymienione powyżej elementy to minimum, które powinna zawierać każda umowa. Nie jest jednak wykluczone, aby zawrzeć w niej jeszcze dodatkowe elementy, które będą stanowić dodatkowe zabezpieczenie. Jakie to mogą być postanowienia? Przykładowo może to być wprowadzenie kar umownych za naruszenia ochrony danych przez przedmiot przetwarzający, wprowadzenie zasad przeprowadzania audytów lub określenie sposobów zakończenia współpracy w przyszłości.

I jeszcze jedna ważna informacja: Umowa powierzenia przetwarzania danych osobowych powinna zostać sporządzona na piśmie. Możliwa jest również jej forma elektroniczna.

Umowa powierzenia przetwarzania danych – podsumowanie

Mamy nadzieję, że dzisiejszy artykuł pokazał w przystępny sposób rolę podmiotu przetwarzającego i różnice w stosunku do administratora. Nie ulega wątpliwości, iż mimo bliskiej współpracy między tymi dwoma najważniejszymi podmiotami przetwarzającymi nasze dane osobowe, ich role w procesie przetwarzania danych osobowych różnią się. Aby zabezpieczyć sytuację obu tych podmiotów, RODO wprowadza szereg zasad i wytycznych, m.in. na temat tego, co powinna zawierać umowa powierzenia przetwarzania danych osobowych. To właśnie ona jest instrumentem, na który należy zwrócić uwagę przy wdrażaniu RODO  w firmie na każdym etapie jej rozwoju. Szczególnie w dzisiejszych czasach, gdy outsourcing usług jest coraz bardziej powszechnym zjawiskiem.

***

Mamy nadzieję, że spodobał się Wam nasz artykuł. Jeżeli udało się znaleźć w nim wartościowe informacje dla Was, udostępnijcie go i podzielcie się wiedzą z innymi! 🙂

***

Photo by Nik MacMillan on Unsplash

Czy wiesz, że Lookreatywni to nie tylko baza wiedzy?

Jesteśmy zaufanym partnerem, który nie tylko doradza i zabezpiecza klienta pod względem prawnym, ale również wspiera go biznesowo.