UMOWA POWIERZENIA
Wielokrotnie posługiwaliśmy się na blogu pojęciem umowy powierzenia przetwarzania danych osobowych. Podczas współpracy z klientami spotykamy się z różnymi sytuacjami. Ostatnio mieliśmy do czynienia z odmową zawarcia umowy powierzenia. Procesor nie godził się na zaproponowane przez naszego klienta zapisy, uznając je za zbyt rygorystyczne. Nie próbował negocjować, modyfikować zaproponowanych zapisów, a po prostu uznał, że umowa nie jest mu do niczego potrzebna (jeżeli nie spełnia jego wymagań). Umowa powierzenia przetwarzania danych osobowych została potraktowana negatywnie – czy słusznie?
W związku z zaistniałym zdarzeniem zdecydowaliśmy się przybliżyć problematykę umowy powierzenia. Wyjaśniamy czym jest umowa powierzenia, jakie elementy powinna zawierać oraz dlaczego jej zawarcie z podmiotem przetwarzającym dane osobowe w imieniu administratora jest tak istotne. Podajemy również rozwiązanie, kiedy procesor odmawia podpisania kontraktu.
DLACZEGO ZAWARCIE UMOWY POWIERZENIA JEST ISTOTNE
Umowa powierzenia jest kontraktem regulującym stosunki pomiędzy administratorem danych osobowych, a podmiotem przetwarzającym. Chodzi o wszelkie stosunki, w których administrator przekazuje pozyskane przez siebie dane poza swoje przedsiębiorstwo. Z takimi sytuacjami mamy do czynienia korzystając z usług księgowych, zewnętrznych kancelarii prawnych, czy choćby używając zewnętrznego serwera na pliki. W każdym z tych przypadków operacje na danych – oprócz administratora – wykonuje również inny podmiot.
Zawarcie umowy powierzenia jest o tyle istotne, że administrator nie może w obecnych regulacjach przekazywać pozyskiwanych przez siebie danych poza swoje przedsiębiorstwo bez odpowiedniej podstawy prawnej. Co więcej, art 28. ust 1. RODO uzupełniony treścią motywu 81 RODO wprost zobowiązuje administratora do korzystania przy przetwarzaniu danych osobowych wyłącznie z podmiotów, które gwarantują wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających, że przetwarzanie spełnia wymogi RODO oraz chroni prawa osób, których dane są przetwarzane. Bez zawarcia stosownej umowy spełnienie i weryfikacja tych kwestii byłaby niemożliwa.
Przepisy nie wymagają wprost, aby umowa powierzenia zawarta była w formie pisemnej. Niemniej jednak – w praktyce – zawarcie umowy w formie łagodniejszej (np. ustnej lub dorozumianie) powodowałoby trudności. Trzeba pamiętać, że RODO promuje zasadę rozliczalności. Zgodnie z nią administrator musi mieć możliwość wykazać jakie działania podjął celem ochrony danych osobowych.
Co jednak ważne umowa powierzenia przetwarzania danych osobowych nie musi stanowić odrębnej umowy. Odpowiednie zapisy mogą znaleźć się również w umowie o współpracę łączącej strony. Taki kontrakt powinien jednak zawierać wszelkie obowiązkowe elementy umowy powierzenia, o których piszemy poniżej.
KIM JEST ADMINISTRATOR, A KIM PROCESOR
Mianem administratora danych osobowych RODO określa osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Przetwarzanie danych osobowych oznacza wszelkie operacje lub zestaw operacji wykonywanych na danych osobowych.lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. W szczególności w zakres tego pojęcia zaliczamy zbieranie, utrwalanie, organizowanie, porządkowanie i przechowywanie danych. Innymi słowy administratorem jest podmiot (niezależnie od formy prawnej, w której prowadzi działalność gospodarczą), który pozyskał dane osobowe i który ustala cele oraz sposoby przetwarzania tych danych.
Zgodnie natomiast z definicją zawartą w art. 4 pkt. 8 RODO podmiotem przetwarzającym jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Jak poprawnie interpretować ten zapis? Naszym zdaniem, należy rozstrzygnąć kto decyduje o celach i sposobach przetwarzania danych. Jeżeli o celach i sposobach przetwarzania danych faktycznie decyduje administrator, a podmiot przetwarzający działa wyłącznie na jego zlecenie (wykonuje jego polecenia) wpisuje się w przywołaną definicję. Oznacza to, że stosowną umowę powierzenia najpewniej podpiszemy z biurem księgowym, z kancelarią prawną, zewnętrznym call center, z firmą świadczącą usługi IT (np. hosting strony internetowej), z firmą prowadzącą obsługę BHP (outsourcing służby bezpieczeństwa i higieny pracy), ale już niekoniecznie z podmiotem świadczącym usługę szkolenia w dziedzinie bezpieczeństwa i higieny pracy. Prowadzący szkolenia BHP nie jest procesorem, tylko administratorem danych osób skierowanych na szkolenie, udostępnionych przez pracodawcę, ponieważ prowadzi swoją ewidencję osób przeszkolonych (dla swoich celów), to on wystawia zaświadczenia o ukończeniu szkolenia, które przekazuje pracownikom – osobom przeszkolonym. W przypadku, gdy jeden podmiot świadczy usługi BHP oraz równocześnie prowadzi szkolenia w tej dziedzinie, staje się on zarówno podmiotem przetwarzającym jak i administratorem danych pracowników udostępnionych przez zleceniodawcę. Innym przykładem podmiotu, który najczęściej zostaje obsadzony w podwójnej roli (administratora oraz podmiotu przetwarzającego) jest biuro rachunkowe.
ELEMENTY OBLIGATORYJNE UMOWY POWIERZENIA
Przepisy unijne zawierają wykaz elementów, które obowiązkowo powinna zawierać każda umowa powierzenia. Strony regulując wzajemne relacje mogą wprowadzić oczywiście dodatkowe zapisy. Jednocześnie powinny pamiętać, aby umowa zawierała co najmniej takie elementy jak:
- określenie przedmiotu i czasu trwania przetwarzania;
- wskazanie charakteru i celu przetwarzania;
- podanie rodzaju danych osobowych oraz kategorii osób, których dane dotyczą;
- a także wymienienie obowiązków i praw administratora.
To jednak nie wszystko. Umowa powierzenia powinna również stanowić, że podmiot przetwarzający:
- przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora. Dotyczy top też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
- zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
- podejmuje wszelkie środki wymagane na mocy art. 32 (czyli zapewnia bezpieczeństwo przetwarzania danych osobowych uwzględniając stan wiedzy technicznej; koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania; oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze);
- przestrzega warunków korzystania z usług innego podmiotu przetwarzającego;
- biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw;
- uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO (zabezpieczenia danych);
- po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
- udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz
- umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
W praktyce najwięcej kontrowersji budzi ostatni punkt. Upoważnia on administratora do prowadzenia u procesora czynności weryfikujących, czy przestrzega on zawartej umowy i należycie zabezpiecza przekazywane mu dane osobowe.
OBOWIĄZEK ZAWARCIA UMOWY
Należy pamiętać, że zawarcie stosownej umowy powierzenia jest obowiązkiem, a nie uprawnieniem administratora danych i podmiotu przetwarzającego. Brak umowy powierzenia w przypadku spełnienia przesłanek do jej zawarcia jest równoznaczny z przetwarzaniem niezgodnym z RODO. W takiej sytuacji, zarówno administrator jak i procesor ponoszą odpowiedzialność za nieprzestrzeganie przepisów RODO. Pierwszy, z tytułu niedopełnienia obowiązku administratora, drugi za przetwarzanie danych osobowych bez podstawy prawnej.
Kwestie kar omówione zostały w osobnym artykule.
Warto jednak pamiętać, że jeżeli w warunkach bezumownego powierzenia danych osobowych dojdzie np. do ich wycieku lub kradzieży to bez względu na to czy podmiot przetwarzający przyczynił się do wystąpienia incydentu, czy też nie, wyłączną odpowiedzialność ponosi administrator. Dopiero faktycznie zawarta umowa powierzenia pozwala administratorowi przerzucić część odpowiedzialności za to co może stać się z danymi osobowymi, które on powierza na podmiot przetwarzający (zasada solidarnej odpowiedzialności stron). Osoby fizyczne, które nie zostały powiadomione o tym, że ich dane przetwarzane są przez inny podmiot, nie mogą ponosić z tego tytułu negatywnych konsekwencji. Nie wyłącza to oczywiście odpowiedzialności odszkodowawczej na zasadach ogólnych.
WYJĄTKI – KIEDY UMOWA POWIERZENIA NIE JEST KONIECZNA
W uzasadnionych przypadkach umowy powierzenia można zastąpić zapisami o zachowaniu poufności – NDA (non-discloure agreement). Przykładowo, nie ma obowiązku zawarcia umowy powierzenia z serwisem sprzątającym, gdyż w zakresie świadczonych usług do przetwarzania danych nie dochodzi. Z uwagi jednak na to, że personel sprzątający może wejść w posiadanie pewnych danych osobowych np. z dokumentów nieopatrznie pozostawionych na biurku wskazane jest zawarcie umowy o zachowaniu poufności.
W kompleksowej ochronie danych warto przewidywać różne scenariusze. Jeżeli zlekceważymy zapisy dot. poufności może okazać się, że pomimo zawartych umów powierzenia z pozostałymi firmami to właśnie personel sprzątający lub ochroniarz wyniesie naszą bazę klientów. Ochrona danych osobowych jest bowiem tak silna jak jej najsłabszy element.
JAK POSTĄPIĆ, KIEDY PROCESOR NIE CHCE PODPISAĆ UMOWY POWIERZENIA
Tutaj sprawa jest prosta. Jako, że w polskim prawie cywilnym umowę traktujemy jako zgodne porozumienie dwóch lub więcej stron w sytuacji kiedy procesor odmawia podpisania umowy bez wskazania obiektywnych przeszkód uniemożliwiających jej zawarcie powinniśmy wycofać się z dalszej współpracy. Po pierwsze RODO promuje współpracę z podmiotami, które przestrzegają zapisy o ochronie danych osobowych. Po drugie przekazując innemu podmiotowi dane osobowe bez podstawy prawnej narażamy się na odpowiedzialność za nieprzestrzeganie zapisów rozporządzenia.
ZAKOŃCZENIE
W razie potrzeby uzyskania dodatkowych informacji bądź wyjaśnienia jakichś zagadnień zachęcamy do kontaktu poprzez poniższy formularz kontaktowy: