Umowa powierzenia przetwarzania danych osobowych
Rosnący niepokój wokół zagadnienia ochrony danych osobowych skłania wielu przedsiębiorców do analizy nad aktualnym stanem bezpieczeństwa danych. Spośród wielu problemów, nad którymi głowią się administratorzy jest przekazywanie danych innym podmiotom między innymi w ramach tzw. outsourcingu. Co powinniśmy zrobić, aby przetwarzać dane zgodnie z prawem, nie zamykając sobie jednocześnie drogi do współpracy z innymi? Czym jest umowa powierzenia przetwarzania danych osobowych?
Umowa powierzenia
Umowa powierzenia pozwala na zgodne z prawem przekazywanie danych osobowych podmiotom innym niż administrator. Nawiązanie współpracy z księgową, serwisem IT, podmiotem świadczącym usługi kadrowe i wielu innymi podmiotami wymaga zawarcia umowy powierzenia. Nie jest to więc uprawnienie, a obowiązek i to już na gruncie aktualnie jeszcze obowiązującej ustawy o ochronie danych osobowych z 29 sierpnia 1997 r.
Mało kto do tej pory realizował jednak ten obowiązek, często wydając jedynie upoważnienie do przetwarzania danych osobowych w miejsce obowiązkowej umowy powierzenia.
Powierzenie, a upoważnienie
W kontekście udostępnienia innym danych osobowych posiadanych przez administratora najczęściej mówi się o upoważnieniu. Należy jednak wyraźnie rozróżnić przypadki, kiedy wystarczające jest upoważnienie, a kiedy wymagane jest zawarcie umowy powierzenia. Rozróżnienie jest wbrew pozorom dość proste. Jeżeli przekazujemy dane osobowe osobie fizycznej np. naszemu pracownikowi, osobie, która jest zatrudniona na podstawie umowy zlecenia, czy innej umowy cywilnoprawnej i działa „samodzielnie” właściwe będzie upoważnienie. Jeżeli zaś podejmujemy współpracę z innym podmiotem, przede wszystkim spółką lub osobą prowadzącą działalność gospodarczą przetwarzającą dane osobowe przy pomocy swojej struktury organizacyjnej, właściwsze będzie zawarcie umowy powierzenia.
Niezbędne elementy umowy powierzenia
RODO wprowadza duże zmiany w stosunku do elementów koniecznych umowy powierzenia. Na chwilę obecną wystarczające jest zawarcie w niej zakresu danych osobowych podlegających powierzeniu oraz celu przetwarzania. Kiedy zacznie obowiązywać RODO konieczne będzie uzupełnienie jej o szereg dodatkowych kwestii, jak chociażby:
– przedmiot przetwarzania,
– czas trwania przetwarzania,
– charakter i cel przetwarzania,
– rodzaj danych osobowych,
– kategorie osób, których dane dotyczą,
– obowiązki i prawa administratora danych
– warunki podpowierzenia przetwarzania danych,
– obowiązki podmiotu, któremu powierzamy przetwarzanie.
Podsumowanie
RODO w znacznym stopniu rozszerza więc katalog obowiązkowych elementów umowy. Decydując się na powierzenie przetwarzania danych po rozpoczęciu obowiązywania RODO powinniśmy pamiętać, żeby zawrzeć wszystkie wyżej wymienione detale. Jeżeli zaś jesteśmy już związani takimi umowami na podstawie przepisów ustawy o ochronie danych osobowych z 1997 roku, należy je dostosować do zmian wynikających z nowego rozporządzenia.
