O wymaganiach, dotyczących powierzenia przetwarzania danych osobowych, mówi w szczególności przepis art. 31 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2014 r., poz. 1182 ze zm.) (dalej „Ustawa”).
Powierzenie przetwarzania danych osobowych, musi odbyć się na podstawie umowy zawartej NA PIŚMIE. Nie ma znaczenia, czy zapisy dotyczące powierzenia umieścisz w głównej umowie, czy podpiszesz z kontrahentem (dalej „Procesor”) osobną Umowę powierzenia przetwarzania danych osobowych. Ważne, aby zachować wcześniej wspomnianą formę. A co powinno się znaleźć u umowie powierzenia?
Cel i zakres przetwarzania danych osobowych w umowie powierzenia
W umowie określ CEL i ZAKRES powierzenia przetwarzania danych osobowych.
Wymaga tego art. 31 ust. 2 Ustawy:
Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
A czym są cel i zakres?
„Cel” – określa po co powierzasz przetwarzanie danych osobowe. Możesz go opisać bezpośrednio w umowie powierzenia. Możesz również odnieść ten cel do umowy głównej.
Przykład: „Dane osobowe będą przetwarzane przez Zleceniobiorcę wyłącznie w celu świadczenia usługi hostingu na podstawie umowy nr… z dnia…”
„Zakres” – czyli informacja jakie dane będą przetwarzane – np. imię, nazwisko, adres e-mail…
Procesor też musi spełnić wymagania Ustawy
Kontrahent, któremu powierzamy przetwarzanie danych osobowych, musi je odpowiednio zabezpieczyć. Wymagania, dotyczące zabezpieczeń, opisuje rozdział 5 Ustawy. Procesor musi je spełniać.
Nie masz obowiązku zawarcia takiego zobowiązania w umowie powierzenia (Procesor jest do tego zobowiązany przez Ustawę), ale nie zaszkodzi jeśli to zrobisz.
Audyt lub kontrola u Procesora i inne zapisy
Ustawa nie stawia wprost zbyt wielu wymagań dotyczących zawartości umowy powierzenia.
Teoretycznie, to co wskazałem powyżej powinno wystarczyć.
W praktyce jednak warto w umowie powierzenia uwzględnić jeszcze kilka kwestii.
- Zobowiązanie do informowania o kontrolach i innych postępowaniach związanych z danymi osobowymi.
Kontrola GIODO u Twojego kontrahenta, może mieć konsekwencje również dla Ciebie. Mam na myśli sytuację w której inspektorzy GIODO stwierdzą u Procesora nieprawidłowości i podążą za nimi. Jeśli mieliby dojść do Ciebie, to lepiej przygotować się zawczasu. - Prawo do przeprowadzenia audytu.
Przydatne w szczególności, gdy będziesz miał wątpliwości, czy Twój kontrahent dobrze i zgodnie z prawem chroni dane osobowe. Sytuacja kiedy Procesor odmówi Ci prawa do sprawdzenia jak chroni dane osobowe, powinna być do dla Ciebie sygnałem ostrzegawczym. - Obowiązek usunięcia danych osobowych.
Kiedy umowa powierzenia przetwarzania danych osobowych przestanie obowiązywać, Procesor straci podstawę do przetwarzania danych, które mu powierzyłeś. Powinien je usunąć. Nie dla każdego jest to oczywiste. Umieszczenie takiego zobowiązania w umowie powierzenia może się przydać.
W niektórych przypadkach warto również zobowiązać Procesora do wykonania i przekazania Ci kopii danych osobowych. Przydatne w przypadku, gdy samemu nie masz możliwości by to zrobić.
Powierzaj przetwarzanie danych zgodnie z przepisami
Zapewne trafisz na kontrahentów, którzy będą „kręcili nosem” na podpisanie umowy powierzenia i spełnienie ustawowych obowiązków. Nie możesz jednak ulec tym nastrojom.
Pomyśl o tym, czy kontrahent, który działa niezgodnie z prawem i nie chce chronić danych Twoich klientów, jest wiarygodny.
Jeśli mu ulegniesz, to narazisz swoją wiarygodność w oczach klientów.
O karach grzywny, ograniczenia lub pozbawienia wolności, nie będę się nawet rozpisywał, bo jestem przekonany, że takich argumentów nie potrzebujesz.
Ekspert ochrony danych osobowych z 10 letnim doświadczeniem. Realizował projekty związane z ochroną danych osobowych dla takich marek jak eObuwie.pl, Shoper, KKS Lech Poznań, Carry, Akademickie Inkubatory Przedsiębiorczości. Członek Stowarzyszenia Inspektorów Ochrony Danych (SABI) i Stowarzyszenia Praktyków Ochrony Danych (SPOD). Absolwent Politechniki Poznańskiej. Informatyk, inżynier systemów zarządzania. Absolwent studiów podyplomowych z zakresu systemów zarządzania opartych o normy ISO (Politechnika Poznańska) oraz bezpieczeństwa danych w systemach komputerowych (Collegium DaVinci). Współtwórca autorskiej metody wdrażania RODO.