Z czego powinna się składać i jakie aspekty powinna regulować dobra umowa powierzenia przetwarzania danych osobowych? 

/ administrator danych, bezpieczeństwo danych, compliance, outsourcing danych, podmiot przetwarzający, RODO, umowa powierzenia / Porady prawne / Przez

W praktyce niemal każda firma korzysta z usług podmiotów trzecich, które przetwarzają dane osobowe – biur księgowych, firm IT, dostawców hostingu czy systemów CRM. Art. 28 RODO precyzyjnie reguluje, na jakich zasadach administrator danych może powierzyć przetwarzanie danych osobowych i jakie obowiązki spoczywają na podmiocie przetwarzającym. Niewłaściwe ukształtowanie tej relacji może prowadzić do poważnych naruszeń i sankcji.

Z tego artykułu dowiesz się:

  • kim jest podmiot przetwarzający w rozumieniu RODO,
  • kiedy administrator może powierzyć przetwarzanie danych,
  • jakie elementy musi zawierać umowa powierzenia,
  • jakie obowiązki spoczywają na podmiocie przetwarzającym,
  • kiedy podmiot przetwarzający ponosi odpowiedzialność jak administrator.

Kim jest podmiot przetwarzający według RODO?

Zgodnie z definicją zawartą w art. 4 pkt 8 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej: RODO, „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Administratorem jest natomiast osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

Mając powyższe na uwadze należy przyjąć, iż podmiot przetwarzający to podmiot, który przetwarza dane osobowe w imieniu administratora danych. Nie decyduje on samodzielnie o celach ani sposobach przetwarzania, lecz działa wyłącznie na udokumentowane polecenie administratora. Administrator może korzystać tylko z usług takich podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z RODO i chroniło prawa osób, których dane dotyczą.

Umowa powierzenia przetwarzania danych – obowiązek, nie wybór

Każde powierzenie przetwarzania danych osobowych musi być oparte na umowie lub innym instrumencie prawnym, które podlegają prawu Unii lub prawu państwa członkowskiego, zawartym w formie pisemnej, w tym w formie elektronicznej. Dokument ten zawierany jest między podmiotem przetwarzającym i administratorem. Umowa lub inny instrument, o którym mowa powyżej określa w szczególności: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą a także obowiązki i prawa administratora.

Na temat prawidłowego wdrożenia RODO w sklepie internetowym, można przeczytać w publikacjach na naszym blogu: 

 Jak skutecznie wdrożyć RODO w sklepie internetowym?

Kluczowe obowiązki podmiotu przetwarzającego

Zgodnie z art. 28 ust. 3 RODO umowa lub inny instrument prawny regulujący powierzenie przetwarzania danych osobowych powinny nakładać na podmiot przetwarzający określone obowiązki. Zgodnie z przepisami podmiot przetwarzający zobowiązany jest do: 

  1. przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
  2. zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
  3. podejmuje wszelkie środki wymagane na mocy związane z bezpieczeństwem dany wymienione w art. 32 tj. m.in. stosuje pseudonimizację i szyfrowanie danych osobowych.
  4. przestrzega warunków korzystania z usług innego podmiotu przetwarzającego;
  5. biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw;
  6. uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków w zakresie bezpieczeństwa danych określonych w art. 32-36;
  7. po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
  8. udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

Korzystanie z dalszych podmiotów przetwarzających

Podmiot przetwarzający nie może korzystać z usług kolejnego podmiotu przetwarzającego bez uprzedniej zgody administratora. Zgoda ta może mieć charakter szczegółowy lub ogólny, jednak w każdym przypadku administrator musi mieć możliwość wyrażenia sprzeciwu wobec planowanych zmian.

Co istotne, pierwotny podmiot przetwarzający ponosi pełną odpowiedzialność wobec administratora za działania dalszego podmiotu przetwarzającego, jeżeli ten nie wywiąże się ze swoich obowiązków.

Audyty, informacje i odpowiedzialność podmiotu przetwarzającego

Podmiot przetwarzający jest zobowiązany udostępniać administratorowi wszelkie informacje niezbędne do wykazania zgodności z art. 28 RODO oraz umożliwiać przeprowadzanie audytów i inspekcji. Jeżeli uzna, że polecenie administratora narusza przepisy o ochronie danych, powinien niezwłocznie o tym poinformować.

Jeżeli natomiast podmiot przetwarzający samodzielnie określa cele lub sposoby przetwarzania, wówczas zgodnie z RODO zostaje uznany za administratora danych w odniesieniu do tego przetwarzania, wraz z pełną odpowiedzialnością.

Głośne decyzje Prezesa UODO i wielomilionowe kary za błędy przy umowach powierzenia

W ostatnim czasie Prezes Urzędu Ochrony Danych Osobowych wydał kilka głośnych decyzji administracyjnych, które odbiły się szerokim echem zarówno w mediach, jak i w środowisku prawnym i biznesowym. Szczególne znaczenie mają decyzje wydane w sprawach McDonald’s Polska Sp. z o.o. oraz Panek S.A., w których nałożono jedne z najwyższych kar finansowych w historii działalności organu nadzorczego. W pierwszej z tych spraw administrator danych został ukarany administracyjną karą pieniężną w łącznej wysokości niemal 17 mln zł, natomiast w sprawie Panek S.A. kara przekroczyła 1,5 mln zł. Co istotne, sankcje finansowe zostały nałożone nie tylko na administratorów danych, lecz również na podmioty przetwarzające, co jednoznacznie potwierdza, że odpowiedzialność za naruszenia RODO ma charakter współdzielony. Decyzje te jasno pokazują, że umowa powierzenia przetwarzania danych osobowych nie może być traktowana wyłącznie jako formalny obowiązek. Brak realnej weryfikacji procesora, niewdrożenie odpowiednich środków technicznych i organizacyjnych oraz zaniechanie bieżącego nadzoru mogą skutkować poważnymi naruszeniami RODO i dotkliwymi, wielomilionowymi karami, nawet po stronie dużych i doświadczonych podmiotów rynkowych.

Więcej na temat wyżej wspomnianych decyzji opisujemy na naszym blogu w publikacji: 

Unikaj cudzych błędów – głośne i wysokie kary nałożone przez Prezesa Urzędu Ochrony Danych Osobowych

W czym możemy pomóc Ci pomóc?

  • przygotowanie i weryfikacja umów powierzenia przetwarzania danych,
  • analiza relacji administrator–podmiot przetwarzający,
  • audyty RODO i compliance outsourcingu danych,
  • sporządzenie polityki prywatności na stronę internetową,
  • aktualizacja zgód marketingowych,
  • wdrożenie RODO w działalności.

FAQ

Czy podmiot przetwarzający może sam decydować o sposobie przetwarzania danych?
Nie. Decyzje w tym zakresie należą do administratora. Ich samodzielne podejmowanie może skutkować uznaniem podmiotu przetwarzającego za administratora.

Czy umowa powierzenia może mieć formę elektroniczną?
Tak, RODO wprost dopuszcza formę elektroniczną.

Czy administrator odpowiada za błędy podmiotu przetwarzającego?
Co do zasady tak, jednak podmiot przetwarzający ponosi własną odpowiedzialność za naruszenie obowiązków wynikających z RODO.

Jeżeli korzystasz z usług podmiotów zewnętrznych lub sam działasz jako podmiot przetwarzający, skontaktuj się z naszą kancelarią. Pomożemy Ci prawidłowo ukształtować umowy powierzenia, ograniczyć ryzyko naruszeń i zapewnić zgodność z RODO.

Avatar photo

Autor wpisu:

Milena Dorobek-Lis

Studia prawnicze i studia podyplomowe z zakresu prawa pracy ukończyła na Uniwersytecie Warszawskim, aplikację radcowską ukończyła w Okręgowej Izbie Radców Prawnych Warszawie. Zdobywała doświadczenie w kancelariach prawnych, organach administracji publicznej, w tym Biurze Generalnego Inspektora Ochrony Danych Osobowych oraz wieloletniej współpracy z przedsiębiorcami, w szczególności z branży e-commerce. Była głównym prawnikiem w Fundacji Rozwoju Przedsiębiorczości „Twój StartUp”.

Specjalizuje się w kompleksowej obsłudze prawnej przedsiębiorców, prawie nowych technologii, e – commerce, prawie i postępowaniu administracyjnym.

Zobacz także:

Przewijanie do góry