Umowa o (pod)powierzeniu przetwarzania danych osobowych wg RODO

Choć na temat umowy o powierzeniu przetwarzania danych osobowych powstało wiele artykułów, dzisiejszy wpis chciałabym poświęcić szczególnie podpowierzającym dane osobowe, a dokładnie podmiotom, które wykonując usługi outsourcingu na rzecz administratora danych (a więc podmiotu, który określa cele i zakresy przetwarzania danych osobowych użytkowników) przekazują przetwarzanie tymi danymi dalej lub sami korzystają z usług outsourcingowych i w ich ramach przekazują dane osobowe. Z pewnością do takich przyjmujących do przetwarzania zwanych „procesorami” należą podmioty, które np. tworzą strony internetowe, świadczą inne usługi IT, wykonują usługi księgowe czy kadrowe w swoim systemie, a dane przechowują na serwerach innego podmiotu czyli właśnie podpowierzają przetwarzanie danych osobowych. Podmioty te właściwie zobowiązane są do zawarcia co najmniej 2 umów:

1) umowy o powierzenie przetwarzania danych osobowych z administratorem a także

2) umowy powierzenia (podpowierzenia) dalszym przetwarzającym, jeśli administrator wyrazi zgodę na takie podpowierzenie.

Kiedy umowa podpowierzenia może zostać zawarta?

Zgodnie z art. 28 ust. 2 rozporządzenia ogólnego o ochronie danych osobowych (RODO) podmiot przetwarzający może powierzyć dalsze powierzenie przetwarzania danych osobowych tylko i wyłącznie wtedy, kiedy uzyska uprzednio szczegółową lub ogólną zgodę administratora. Zgoda taka powinna być wyrażona na piśmie, a więc pod oświadczeniem powinien znaleźć się własnoręczny podpis osób upoważnionych do reprezentowania administratora lub mieć formę elektroniczną opatrzoną kwalifikowanym podpisem elektronicznym. Dopuszczalna jest również forma dokumentu, o której mowa w art.77² kc, ale o tym poniżej.

Wracamy więc do pierwszej umowy o powierzeniu przetwarzania danych osobowych zawartej pomiędzy administratorem a procesorem. Ta bowiem powinna określać zgodę administratora na dalsze powierzenie przetwarzania danych osobowych innemu konkretnemu podmiotowi (zgoda szczegółowa) lub też określonemu ogólnie podmiotowi (np. z grupy kapitałowej). Dopiero na jej podstawie można zawrzeć kolejną umowę o dalszym powierzeniu przetwarzania danych osobowych.

Dodatkowo w przypadku jakichkolwiek zmian np. dodania lub zastąpienia podmiotu przetwarzającego innym podmiotem należy określić sposoby informowania o powyższych zmianach. Administrator bezwzględnie musi mieć możliwość złożenia sprzeciwu wobec takich zmian.

Ponieważ jednak na przyjmującego do dalszego przetwarzania nałożone są takie same obowiązki jak na procesora w głównej umowie powierzenia, stąd też umowa podpowierzenia powinna zawierać podobne uregulowania jak umowa powierzenia danych osobowych.

Jakie wymogi stawia RODO?

Forma

RODO przewiduje możliwość zawarcia umowy w formie pisemnej, ale również w formie elektronicznej, opatrzonej bezpiecznym podpisem elektronicznym, który wywołuje takie same skutki jak podpis własnoręczny.

Zgodzić się jednak należy z poglądem, iż użytych w art. 28 ust. 9 RODO pojęć formy pisemnej i formy elektronicznej nie można jednak interpretować w oparciu o przepisy krajowe o formie czynności prawnych, w szczególności o art. 78 i 78¹ k.c.[i] Inaczej rzecz biorąc, że tylko te formy są jedynymi dopuszczonymi przez RODO. Uznać więc należy przy zawarciu umowy powierzenia i podpowierzenia formę dokumentu, którym jest nośnik informacji umożliwiający zapoznanie się z jej treścią (art. 77²k.c.), a więc nie tylko ten opatrzony kwalifikowanym podpisem elektronicznym, ale każdy który zawiera oświadczenie woli (czyli spełnia wymóg integralności treści) oraz z którego wynika, że pochodzi od osoby która się pod nim podpisała lub go autoryzowała ( autentyczności pochodzenia[ii]).

RODO nie wskazuje skutków niedochowania formy umowy, co oznacza, że na gruncie prawa cywilnego nie będzie ono rodziło negatywnych konsekwencji. Niemniej jednak  niedochowanie tej formy będzie stanowiło naruszenie postanowień rozporządzenia, za które grożą dotkliwe sankcje, w tym m.in. wysokie kary finansowe. Warto więc zadbać, aby forma umowy była prawidłowa.

Umowa może być indywidualnie negocjowana przez strony lub też może składać się ze standardowych klauzul, które będą bezpośrednio przyjmowane przez Komisję Europejską albo organ nadzorczy (Prezesa Danych Osobowych), zgodnie z mechanizmem spójności, a następnie przyjęte przez Komisję.

Problemem często spotykanym przy umowach podpowierzenia danych jest to, że klauzule stanowią część umowy (np. hostingowej), która wyrażana jest w formie regulaminu świadczenia usług. Jestem zdania, że wraz z wejściem RODO postanowienia tychże regulaminów w zakresie danych osobowych powinny ulec zmianie, a dodatkowo powinny spełniać wymogi co do formy, a dokładniej rzecz ujmując przynajmniej co do spełniania wymogu integralności i autentyczności. Stąd zarówno hostingodawca jak i podmiot korzystający z jego usług powinni zadbać o treść nowych postanowień i dostosować je do obowiązujących przepisów, zważywszy, że RODO nakłada szereg obowiązków na przetwarzającego dane.

Obowiązkowe elementy umowy

Umowa powinna określać co najmniej podstawowych 5 elementów:

1. Przedmiot i czas przetwarzania,
2. Charakter i cel przetwarzania
3. Rodzaj danych osobowych
4. Kategorie osób, których dane dotyczą
5. Obowiązki i prawa administratora, a w umowie podpowierzenia procesora.

 

Przedmiot przetwarzania

To nic innego jak opisanie samego przedmiotu umowy. Postanowienia dotyczące powierzenia lub podpowierzenia mogą stanowić odrębną umowę a mogą być częścią innej umowy (np. umowy hostingu), stąd należy wskazać czy przetwarzanie danych jest wykonywanie samoistnie czy też właśnie na potrzeby świadczenia usług hostingu czy innych usług. Wskazany powinien być również czas przetwarzania tj. czas określony lub nieokreślony.

Charakter i cel przetwarzania

Charakter przetwarzania to termin dość nieokreślony, aczkolwiek wskazuje się, że pojęcie to określa raczej sposób dokonywania przetwarzania (częstotliwość/powtarzalność, czasowość, długoterminowość, masowość) z uwzględnieniem rodzajów zastosowanych technologii.[iii]

Celem przetwarzania natomiast jest wskazanie po co dane osobowe zostały umownie powierzone do podmiotu przetwarzającego i jakie będą operacje na tych danych wykonywane (zbieranie, przechowywanie itp.). Najczęściej celem w umowach podpowierzenia umowach hostingowych będzie przechowywanie danych na serwerach w celu świadczenia usługi hostingu.

Rodzaj danych osobowych

Tu należy wpisać konkretne kategorie danych osobowych, przy czym wskazać należy czy są to dane zwykłe czy wrażliwe czy tez że takie, które dotyczą wyroków skazujących i naruszeń prawa (art.10 RODO).

Kategorie osób, których dane dotyczą

Jeśli przetwarzane są w dane pracowników i kontrahentów to każda z tych grup stanowi odrębną kategorię osób.

Prawa i obowiązki administratora

W tym miejscu należy wymienić uprawnienia administratora, które są powiązane z obowiązkami podmiotu przetwarzającego, o których poniżej. Przykładowo administrator ma prawo kontroli dotyczącej użytych środków zabezpieczających przetwarzanie danych. Jeśli chodzi zaś o obowiązki administratora w zakresie przetwarzania danych to mogą dotyczyć należytej współpracy z procesorem, np. w jakich terminach i na jakich warunkach administrator sprawdza poprawność przetwarzania.

Obowiązki procesora

RODO wyraźnie również wskazuje obowiązki procesora, które zostały enumeratywnie wymienione w art. 28 ust. 3 pkt a)-h) RODO. Zaliczymy do nich m.in.:

• przetwarzanie danych osobowych wyłącznie na udokumentowane polecenie administratora,
• zapewnienie, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,
• podejmowanie wymaganych środków zabezpieczających przetwarzane dane osobowe,
• pomoc administratorowi w wywiązywaniu się z obowiązków wobec osób, których dane dotyczą,
• po zakończeniu świadczenia usług związanych z przetwarzaniem, usunięcie lub zwrot wszelkich danych osobowych oraz usunięcie ich istniejących kopii (zależnie od decyzji administratora),
• udostępnienie administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków procesora oraz umożliwienie administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji.

Niewątpliwie wszelkie kwestie, które znajdą się w umowie z administratorem powinny znaleźć się również w umowie podpowierzenia z procesorem.

Dodatkowo mogą znaleźć się kwestie dotyczące np. kar umownych czy innych elementów dyscyplinujących strony.

Niezwykle ważnym elementem, o czym była już mowa powyżej, to wyraźna zgoda administratora na podpowierzenie dalszego przetwarzania albo konkretnemu podmiotowi (zgoda szczegółowa) lub nieokreślonemu podmiotowi (zgoda ogólna), z zastrzeżeniem jednak, iż administrator może w takim przypadku złożyć sprzeciw na podpowierzenie danych osobowych.

Właściwie to ostatnie chwile, kiedy administratorzy lub procesorzy podpowierzający przetwarzanie powinni przyjrzeć się takim umowom i je zmodyfikować. Dotyczy to również umów zawieranych w przyszłości.Do wdrożenia RODO zostało bowiem tylko 5 miesięcy (25 maja 2018 roku).

 

[i] Tak m.in. „RODO. Ogólne rozporządzenie o ochronie danych. Komentarz”, red.Bielak-Jomaa Edyta, Lubasz Dominik,WKP 2018.

[ii] D. Szostek, M.Świerczyński, Faktura przesyłana w formie elektronicznej, Prawo Mediów Elektronicznych nr 1/2011, s. 31 i nast.

[iii] Komentarz do art. 28 RODO w „Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz”, red. dr Paweł Litwiński, C.H.Beck 2018.