W ramach prowadzonej działalności gospodarczej, przedsiębiorca niemal w każdym wypadku przetwarza dane osobowe. Przepisy przewidują możliwość powierzenia ich innemu podmiotowi, w drodze właściwej umowy. Z powierzeniem danych osobowych mamy do czynienia np. wtedy, gdy korzystamy z usług hostingowych lub z zewnętrznej księgowości. W niniejszym artykule odpowiemy na pytanie kiedy w praktyce występuje takie powierzenie danych oraz jakich formalności należy przy tym dopełnić.

Aby mieć pewność, że jako przedsiębiorca przetwarzamy dane osobowe, naszych klientów czy też podwykonawców, prawidłowo , zachęcamy do skorzystania z naszej oferty Szkoleń RODO.

Administratorem danych osobowych jest podmiot, który decyduje o celach i środkach ich przetwarzania. Powinien on spełniać wymagania przepisów o ochronie danych osobowych. Jednym z takich obowiązków jest zapewnienie środków organizacyjnych i technicznych, które właściwie zabezpieczą przetwarzane informacje. Dodatkowo, zgodnie z rozporządzeniem MSWiA, podmiot taki powinien posiadać aktualną dokumentację przetwarzania danych osobowych, a więc politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym. Wszystkie powyższe wymogi muszą być spełnione także przez podmiot, któremu powierzane są dane osobowe. Zgodnie z art. 34 ust. 4 ustawy o ochronie danych osobowych, odpowiedzialność za ich właściwe zabezpieczenie będą ponosiły oba podmioty – zarówno administrator, jak i podmiot, któremu powierzane są dane (tzw. procesor). Co ważne, umowy wymaga każde powierzenie danych – nawet tylko w celu ich usunięcia, gdyż czynność ta uznawana jest również za przetwarzanie informacji.

„Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.”

(art. 31 ust. 1 ustawy o ochronie danych osobowych)

Jak wynika z przytoczonego przepisu, umowę powierzenia danych osobowych można zawrzeć wyłącznie w formie pisemnej. W przypadku kontroli z ramienia GIODO, inspektorzy z pewnością poproszą o jej przedłożenie.

Umowa powierzenia musi zawierać przynajmniej dwa obligatoryjne elementy, określające przedmiot powierzenia. Pierwszym z nich jest określenie celu powierzania danych osobowych. Należy w tym miejscu wskazać powód, dla którego powierza się dane osobowe lub okoliczności, którym ma to służyć. Tym celem może być np. realizacja postanowień umowy handlowej lub inne, bezpośrednio określone intencje. Drugi, to zakres powierzanych danych osobowych. Umowa określa jakie konkretnie dane zostaną powierzone. Najczęściej wskazuje się tutaj zbiory danych osobowych podlegających powierzeniu, precyzując kategorię poszczególnych informacji osobowych w nich zawartych, np. imię i nazwisko, adres zamieszkania, numer telefonu.

Podmiot, któremu dane osobowe zostaną powierzone, będzie mógł je przetwarzać wyłącznie w zakresie i celu, jaki został określony w umowie.

Oprócz elementów obligatoryjnych, umowa powierzenia danych osobowych może zawierać znacznie więcej istotnych postanowień, wzajemnych oświadczeń stron. Warto rozważyć uszczegółowienie umowy, tak by wzajemne relacje administratora i procesora nie budziły wątpliwości. Dodatkowe postanowienia umowne, w szczególności warte rozważenia:

1. W umowie można uregulować prawo do dalszego powierzania danych przez procesora. Można zabronić dalszego ich powierzania, bądź wskazać podmioty, którym procesor może dane powierzyć.

2. Podmiot powierzający dane osobowe nadal pozostaje ich administratorem. Związane jest to z dużą odpowiedzialnością za bezpieczeństwo danych. Administrator może więc zażądać w umowie prawa do kontrolowania procesu przetwarzania danych osobowych u swoich procesorów.

3. Obowiązek usunięcia danych osobowych przez procesora, po wygaśnięciu umowy. Mimo, że wynika on z przepisów, warto powielić ten zapis aby uniknąć nieporozumień.

Stworzenie umowy powierzenia danych osobowych nie jest trudnym zadaniem, a jest niezbędne aby wypełnić ważne obowiązki spoczywające na ich administratorze. Ponadto należy pamiętać, że w przypadku kontroli, inspektor weryfikuje czy dane osobowe są powierzane na podstawie odpowiedniego dokumentu. Umowa taka pozwala także zabezpieczyć się na wypadek sytuacji konfliktowych.