Dynamicznie rozwijający się outsourcing usług związanych z prowadzeniem działalności gospodarczej spopularyzował umowę powierzenia danych osobowych, zawieraną z podmiotami świadczącymi usługi kadrowe, księgowe czy serwisu IT. Nowe przepisy mocno uszczegóławiają elementy które umowa powierzenia powinna zawierać. Poniżej przybliżamy najważniejsze.
Przepisy ogólnego rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.5.2016 r.) – dalej jako „RODO” – oznaczają dla administratorów danych osobowych nową rzeczywistość w aspekcie tych umów, mocno uszczegóławiając elementy, które umowa powierzenia powinna zawierać. Mowa tutaj o art. 28 RODO, określającym podstawowy katalog obligatoryjnych zapisów umowy powierzenia. Nowe wymogi wiążą się z koniecznością dostosowania treści już stosowanych wzorów oraz potrzebą aneksowania zawartych umów tak, aby z dniem 25 maja 2018 r. stały się one zgodne z przepisami RODO. Należy zachować szeroko pojętą ostrożność, gdyż niedostosowanie zapisów umowy do nowych wymagań może zrodzić szereg negatywnych konsekwencji, między innymi w postaci wysokich kar pieniężnych – zarówno po stronie administratora, jak i podmiotu przetwarzającego.
Powierzenie a podpowierzenie danych
Innowacją na gruncie RODO jest obowiązek leżący po stronie administratora danych, polegający na sprawdzeniu podmiotu, któremu mają zostać powierzone dane. Powierzenie danych nie może być zatem „randką w ciemno”. Zgodnie z art. 28 ust. 1 RODO administrator powinien korzystać wyłącznie z usług podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. To niezmiernie istotna zmiana. Nadaje ona administratorowi danych swoiste uprawnienie do kontroli podmiotu przetwarzającego w zakresie zgodności jego działalności z przepisami RODO i obowiązującymi wymogami w zakresie ochrony praw osób, których dane są przetwarzane. Interesujące jest też uregulowanie kwestii podpowierzania danych kolejnym podmiotom. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r., poz. 922 t.j.) przemilcza to zagadnienie. W praktyce mechanizm ten był jednak często stosowany, co znalazło akceptację doktryny.
Ważne
RODO przewiduje podpowierzanie wprost w art. 28 ust. 2 i 4, jednak pod warunkiem uzyskania szczególnej lub ogólnej pisemnej zgody administratora danych. Przepisy RODO wypełniają zatem powstałą w tym zakresie lukę.
Co powinna zawierać umowa powierzenia?
Przechodząc do zakresu przedmiotowego umowy powierzenia należy zauważyć, że jej treść powinna zawierać następujące elementy:
- przedmiot przetwarzania,
- czas trwania przetwarzania,
- charakter i cel przetwarzania,
- rodzaj danych osobowych,
- kategorię osób, których dane dotyczą,
- obowiązki i prawa administratora,
- obowiązki podmiotu przetwarzającego.
Podobnie jak w przypadku umów powierzenia zawartych w obowiązującym stanie prawnym, tak i przy umowach zawartych po dniu 25 maja 2018 r. (data rozpoczęcia obowiązywania RODO) należy określić przedmiot przetwarzania, jego czas, cel oraz charakter. W umowie powierzenia niezbędne jest wskazanie rodzaju powierzonych danych osobowych (danych zwykłych lub wrażliwych). Z kolei wymóg wskazania osób, których dane dotyczą, to nic innego jak wyróżnienie w umowie określonej grupy osób, których dane osobowe są powierzane, ze względu na łączące ich kryterium (np. pracownicy administratora).
Ważne
RODO wprowadza nowy wymiar współpracy administratora danych z podmiotem przetwarzającym. Od 25 maja 2018 r. podmiot przetwarzający w miarę możliwości, biorąc pod uwagę charakter przetwarzania, pomaga administratorowi danych w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą.
RODO werbalizuje również obowiązek usunięcia lub zwrotu wszelkich danych osobowych, a także usunięcia wszelkich ich istniejących kopii przez podmiot przetwarzający po zakończeniu przez niego świadczenia usług związanych z przetwarzaniem, chyba że prawo Unii lub prawo państwa członkowskiego nakazuje przechowywanie danych osobowych. W treści umowy powierzenia swoje pełne odzwierciedlenie powinien znaleźć również minimalny zakres obowiązków podmiotu przetwarzającego, zawarty w art. 28 ust. 3 zd. 2 RODO.
Kiedy stosować umowę powierzenia?
W realiach polskiej gospodarki rynkowej wiele firm korzysta z usług innych przedsiębiorstw, wykonujących na ich zlecenie strategiczne usługi związane z chociażby księgowością czy BHP. W toku wykonywanych usług zleceniodawcy często bez ograniczeń przekazują firmom zewnętrznym dane pracowników, których zatrudniają, czy – w przypadku świadczenia usług marketingowych – dane swoich klientów. W takich przypadkach zleceniodawca, jako administrator danych osobowych, jest zobowiązany do zawarcia umowy powierzenia z firmą zewnętrzną jako „podmiotem przetwarzającym”. Na wyróżnienie zasługują następujące przykłady zastosowania umów powierzenia danych osobowych:
- zewnętrzna obsługa BHP,
- zewnętrzna obsługa ABI a w przyszłości IOD,
- korzystanie z usług zewnętrznej księgowości,
- usługi związane z wypożyczaniem przestrzeni serwerowej,
- korzystanie z usług zewnętrznego archiwum,
- zewnętrzny dział prawny.
Podsumowanie
Przepisy RODO regulują treść umów powierzenia w dużo szerszym zakresie, niż miało to miejsce w dotychczasowym stanie prawnym. Należałoby ocenić to jako krok w dobrą stronę, zapewniający efektywniejszą ochronę danych osobowych w tej ryzykownej dla administratora sytuacji, w której powierza on zewnętrznemu podmiotowi przetwarzanie danych osobowych. Podkreślenia wymaga to, że zawarcie stosownej umowy w formie pisemnej jest obowiązkiem, a nie uprawnieniem administratora danych i podmiotu przetwarzającego. Czasu do rozpoczęcia obowiązywania przepisów RODO pozostało niewiele, administratorzy danych powinni zatem jak najszybciej stworzyć nowe wzory umów powierzenia oraz zweryfikować już zawarte umowy pod kątem nowych przepisów i aneksować je najpóźniej do dnia 25 maja 2018 r. Wierzymy, że nasz wzór im w tym pomoże.