W artykule przedstawiamy główne informacje dotyczące umowy powierzenia przetwarzania danych osobowych.
W tekście znajdziesz odpowiedzi na pytania:
- co to jest umowa powierzenia przetwarzania danych osobowych?
- jakie powinna zawierać elementy i w jakiej formie można ją zawrzeć?
- jaka jest różnica między powierzeniem danych osobowych a ich udostępnieniem/ upoważnieniem?
- z jakimi podmiotami powinienem zawrzeć umowę powierzenia przetwarzania danych osobowych?
Umowa powierzenia przetwarzania danych osobowych – informacje wstępne
Umowa powierzenia przetwarzania danych osobowych to umowa zawierana pomiędzy administratorem danych a podmiotem przetwarzającym dane (procesorem). Zawierana jest wtedy, gdy administrator danych powierza dane osobowe procesorowi do realizacji określonego przez administratora danych celu, np. wykonywanie czynności kadrowych, księgowych, rekrutacyjnych, marketingowych, przechowywania danych.
Jej zawarcie wymagane jest przez art. 28 RODO, czyli Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Co musi zawierać umowa powierzenia przetwarzania danych osobowych?
Elementy umowy powierzenia przetwarzania danych osobowych zostały wymienione w art. 28 RODO. Dotyczą one głównie:
- określenia zakresu powierzenia przetwarzania;
- gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą;
- obowiązku procesora dot. informowania o korzystaniu z podprocesora lub uzyskania zgody na korzystanie z podprocesora;
- obowiązków procesora zw. z informowaniem o naruszeniach lub realizacją uprawnień przez osoby, których dane dotyczą;
- praw administratora danych osobowych do audytowania procesora.
W jakiej formie można ją zawrzeć?
Umowa powierzenia przetwarzania danych osobowych może być zawarta w dowolnej formie. Ze względów dowodowych powinna być to forma dokumentowa (np. e-mailowa) lub pisemna. Niekiedy zawiera się ją w formie zaakceptowania regulaminu usługi.
Powierzenie danych osobowych a upoważnienie / udostępnienie
Czym się różni umowa powierzenia przetwarzania danych osobowych od upoważnienia?
Umowa powierzenia przetwarzania zawierana jest między dwoma osobnymi podmiotami. Jeżeli więc przekazujesz dane pracownikowi, to go upoważniasz, a jeśli zlecasz zewnętrznemu podmiotowi, to zawierasz z nim umowę powierzenia przetwarzania danych osobowych.
W przypadku osób współpracujących na podstawie umów cywilnoprawnych (umowa zlecenie, umowa o świadczenie usług, umowa b2b) należy indywidualnie ocenić sytuację. Jeśli taka osoba przetwarza dane tylko na polecenie administratora, w tym działając w infrastrukturze technicznej administratora, to jak najbardziej można ją upoważnić.
Zob. Poradnik dotyczący zatrudnienia
Czym się różni umowa powierzenia przetwarzania danych osobowych od udostępnienia danych osobowych?
W niektórych przypadkach oba podmioty traktowane są jak równorzędni administratorzy. Drugi administrator wtedy samodzielnie ustala, w jaki sposób i w jakich celach będzie przetwarzał dane osobowe. Ta samodzielność wynika z:
- obowiązujących przepisów czy obowiązków zawodowych, jak w przypadku np.:
- radców prawnych i adwokatów – dot. umów na usługi prawne/ obsługę prawną,
- biegłych rewidentów – dot. umów na badanie sprawozdania finansowego,
- poczt i firm kurierskich wpisanych do rejestru operatorów pocztowych,
- lekarza medycyny pracy z zw. z tajemnicą zawodową;
- treści zawartej umowy – możesz zlecić agencji HR rekrutację na konkretne stanowisko zgodnie z Twoimi wytycznymi (wtedy umowa powierzenia przetwarzania) albo zostawić jej „wolną rękę”, tak by prowadziła rekrutację na swoich zasadach i w swoim imieniu, zachowując dane kandydatów w swojej bazie (wtedy udostępnienie danych osobowych).
W takich przypadkach także nie zawierasz umowy powierzenia przetwarzania danych osobowych.
Z jakimi podmiotami powinienem zawrzeć umowę powierzenia przetwarzania danych osobowych?
W zależności od tego, jak organizujesz pracę w swojej firmie, może być to od kilku do kilkunastu podmiotów (rzadziej kilkudziesięciu).
Ich zmapowanie odbywa się najczęściej na etapie audytu RODO w firmie. Poniżej skrócona wersja audytu w tym zakresie.
Zob. także: Jak wdrożyć RODO w sklepie internetowym?
Zmapowanie podmiotów powierzających – krok 1
Najpierw sprawdź, czy któreś z poniższych zadań (w całości lub w cześci) zlecasz zewnętrznemu podmiotowi. Nie interesują nas te obowiązki, które przekazałeś osobom, które upoważniasz (pracownikom czy współpracownikom), ponieważ nie będzie w tym zakresie powierzenia przetwarzania:
- kadry, m.in. rekrutacja, prowadzenie akt osobowych, rozliczanie wynagrodzenia, wysyłanie danych do US, ZUS;
- księgowość, m.in. rozliczanie umów z klientami i dostawcami, wysyłanie rozliczeń do US;
- marketing – pozycjonowanie, tworzenie kampanii sprzedażowych, tworzenie reklam, obsługa social mediów;
- sprzedaż – prowadzenie CRM, pozyskiwanie klientów, obsługa klientów, obsługa reklamacji i zwrotów, magazyny;
- obsługa prawna przez podmioty inne niż kancelarie radcowskie i adwokackie;
- obsługa BHP;
- szkolenia;
- obsługa IT;
- audyty prawne, RODO, ISO.
To pierwsza część podmiotów, z którymi najpewniej powinieneś zawrzeć umowę powierzenia przetwarzania danych osobowych.
Zmapowanie podmiotów powierzających – krok 1
Następnie zastanów się, z jakich narzędzi i aplikacji korzystacie w firmie, i w których z nich mogą być dane osobowe, np. pracowników, klientów, dostawców. Zwróć uwagę na:
- chmury danych, jak Dropbox, Google Workspace, Google Dysc, Microsoft 365, Amazon Web Services, iCloud;
- narzędzia do organizacji pracy, jak: Asana, Jira, Confluence, Nozbe, Trello;
- narzędzia specjalistyczne (księgowe, crm), jak Saldeo, Hubspot;
- narzędzia marketingowe, jak: Google Analytics, Google Search Console, Facebook Pixel, Tik-Tok Pixel, Google Ads, Hotjar,
- konta w social mediach, jak: Facebook, Instagram, LinkedIN, Tik-Tok, YouTube.;
- zewnętrzne serwery, jak hosting strony www, skrzynek e-mailowych, itd.
W ten sposób powinieneś mieć kompletną listę podmiotów, z którymi należy zawrzeć umowę powierzenia przetwarzania danych osobowych.
Jeżeli chcesz skonsultować swój przypadek lub wolisz zlecić wdrożenie RODO profesjonalistom,
Umów się z nami na e-spotkanie (klik)
Umowa powierzenia przetwarzania danych osobowych może stanowić osobny dokument część umowy głównej (np. umowy o świadczenie usług, umowy ramowej). W niektórych przypadkach, jak korzystanie z Google Analytics czy Jira (Attlasian), UPP będzie to natomiast część regulaminu, zaakceptowanego przy zakładaniu konta.
Kto sporządza umowę powierzenia przetwarzania danych osobowych?
Nie ma reguły. Dla zabezpieczenia własnych interesów warto mieć swój wzór takiej umowy. Z drugiej strony, podmioty, które masowo zawierają umowy powierzenia przetwarzania danych osobowych, często pracują na swoich wzorach. Zawsze należy je jednak sprawdzić pod kątem zgodności z RODO.
Czy muszę prowadzić rejestr zawartych umów powierzenia przetwarzania danych osobowych?
Umowę powierzenia przetwarzania danych możesz zawrzeć jako:
- administrator danych osobowych – wtedy wystarczy, że podmiot, któremu powierzasz dane odnotujesz w odpowiednim polu w rejestrze czynności przetwarzania (rcp). Warto jednak zapisać w osobnej zakładce wszystkie zawarte umowy powierzenia przetwarzania dla potrzeb cyklicznych audytów RODO lub kontroli;
- procesor, który przetwarza dane osobowe – wtedy umowę musisz odnotować w rejestrze kategorii czynności przetwarzania danych osobowych.
Chcesz skonsultować umowę powierzenia przetwarzania danych osobowych albo zlecić jej sporządzenie? A może potrzebujesz zlecić audyt i wdrożenie RODO w Twojej firmie?
Umów się z nami na e-spotkanie (klik) lub skorzystaj z formularza kontaktowego