Niniejsze opracowanie ma za zadanie przybliżyć elementy składowe, które powinna zawierać umowa powierzenia przetwarzania danych osobowych na podstawie przepisów Rozporządzenia 2016/679.
W tekście wskazano, jakie są zgodnie z RODO essentialia negotii umowy oraz jakie składniki powinna zawierać, aby należycie regulować przetwarzanie powierzonych danych.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (Ogólne Rozporządzenie o Ochronie Danych) z dnia 27 kwietnia 2016 r. (Dz. Urz. UE. L Nr 119, s. 1) – RODO – do legalności przetwarzania danych osobowych wymaga, aby administrator tych danych, jak i podmiot je przetwarzający w jego imieniu zawarły umowę powierzenia przetwarzania danych osobowych[1]
Samo przetwarzanie danych osobowych zdefiniowano w art. 4 ust. 2 RODO[2]. Zgodnie z definicją legalną „przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub na zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie”. Przetwarzaniem danych nie będą jednak wszelkie czynności zmierzające do ich uzyskania[3].
Wobec powyższego dokonanie jakiejkolwiek czynności przetwarzania danych w imieniu administratora powinno znaleźć swoje odzwierciedlenie w umowie łączącej administratora i podmiot przetwarzający.
Art. 28 ust. 3 Rozporządzenia wskazuje na istotne elementy umowy powierzenia. Zgodnie z nim umowa musi określać:
- czas trwania – powinien się wiązać z jej charakterem i celem;
- charakter i cel – czyli wskazanie konkretnej przyczyny powierzenia przetwarzania danych, choćby prowadzenie usług księgowych;
- kategorie osób, których dane będą przetwarzane;
- zakres powierzanych danych – administrator, powierzając innemu podmiotowi przetwarzanie danych, musi wskazać, jakie dane faktycznie będą podlegały powierzeniu.
Podaje się tu zwykle nazwę zbioru, kategorię osób, których dane dotyczą, np.: pracownicy, klienci, i wymienia enumeratywnie poszczególne kategorie danych, np.: imię, nazwisko, adres, numer telefonu[4];
- polecenie przetwarzania danych – może być wydane uprzednio lub w treści umowy, nie ma obowiązku każdorazowego składania polecenia[5];
- zobowiązanie osób przetwarzających dane w imieniu procesora do zachowania tajemnicy[6];
- zobowiązanie do zapewnienia bezpieczeństwa przetwarzania danych[7];
- ustalenie zasad dalszego powierzenia przetwarzania danych osobowych – strony umowy powinny określić zasady dalszego powierzenia przetwarzania danych – wykonania części umowy przez inny podmiot. Mając na uwadze art. 28 ust 4. RODO, zasadne wydaje się stanowisko, że bez wyraźnego zastrzeżenia umownego niedopuszczalne jest, żeby procesor przekazał innemu podmiotowi wykonanie całej umowy[8] [9];
- sposób zwrócenia powierzonych danych lub usunięcie ich kopii – najczęściej termin ten określa czas trwania umowy. Jednakże, jeżeli przepis prawa nie wymaga przechowywania danych (np. w postaci dokumentów) przez określony czas, wydaje się istotne, aby strony ustaliły ostateczny termin usunięcia kopii danych lub ich zwrotu[10];
- zasady kontroli i nadzoru – mając na uwadze to, że administrator danych, mimo ich powierzenia, wciąż pozostaje ich administratorem i ma obowiązek czuwać nad legalnością i sposobem ich przetwarzania, wobec czego umowa powinna przewidywać prawo administratora do wewnętrznej kontroli podmiotów, którym powierzono dane[11].
Poza obligatoryjnymi postanowieniami, w umowie warto zawrzeć postanowienia dotyczące nieprzekazywania danych poza obszar EOG – jest to o tyle istotne, że co do zasady, na przekazanie danych poza obszarem EOG wymagane są zgoda[12] oraz regulujące zasady odpowiedzialności procesora. Zgodnie z art. 82 ust. 1 RODO „każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę”[13].
Dodatkowo obie strony umowy powinny złożyć oświadczenia – administrator potwierdzające posiadanie pełnego prawa do ich przetwarzania, zaś procesor potwierdzające spełnianie warunków technicznych i organizacyjnych do prawidłowego wykonania umowy oraz do zgodnego z prawem przetwarzania powierzonych danych osobowych.
Oczywiście, umowa powierzenia przetwarzania danych, jak i samo ich powierzenie musi być zgodne z ogólnymi dyrektywami RODO – w szczególności z zasadami celowości i proporcjonalności. Ponadto, mając na uwadze art. 25 ust. 2, procesor powinien ograniczyć dostęp do danych dla osób, których udział jest niezbędny przy wykonaniu umowy.
Zawarcie wszystkich wymienionych w tekście elementów powinno zapewnić obu stronom umowy zgodność przetwarzania danych z obowiązującymi przepisami. Bezwzględnie należy pamiętać, że odpowiedzialność za zgodne z prawem przetwarzanie danych i bezpieczeństwo ich przetwarzania spoczywa zarówno na administratorze, jak i na procesorze. Nie można przyjąć stanowiska, zgodnie z którym powierzenie przez administratora danych do przetwarzania zwalnia go z odpowiedzialności za ich ewentualne naruszenie. Nie można powiedzieć, że administrator danych osobowych, powierzając je innemu podmiotowi, bezwzględnie przenosi na niego odpowiedzialność.
Zgodnie z art. 82 ust. 2 RODO „każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom”[14]. Na końcu należy dodać, że umowa powierzenia przetwarzania danych osobowych może być elementem składowym innej umowy – podstawowego stosunku łączącego strony.
Krzysztof Danielak
Radca prawny
[1] Art. 28 ust. 3 RODO.
[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (Ogólne Rozporządzenie o Ochronie Danych) z dnia 27 kwietnia 2016 r. (Dz. Urz. UE. L Nr 119, s. 1).
[3] Wyrok NSA z 28.06.2011 r., I OSK 1264/10, LEX nr 1082607
[4] Art. 28 ust. 3 RODO
[5] Art. 28 ust. 3 lit. a RODO
[6] Art. 28 ust. 3 lit. b RODO
[7] Art. 28 ust. 3 lit. c RODO oraz art. 32 RODO
[8] Art. 28 ust. 2 RODO
[9] Art. 28 ust. 4 RODO
[10] Art. 28 ust. 3 lit. g RODO
[11] Art. 28 ust. 3 lit. h RODO
[12] Art. 49 RODO
[13] Art. 82 ust. 1 RODO
[14] Art. 82 ust. 2 RODO.