Umowa powierzenia. Co to jest? Kogo dotyczy?
RODO reguluje kwestie związane z przetwarzaniem danych osobowych. Jedną z nich jest umowa powierzenia danych. Na czym dokładnie polega taka umowa? Kto komu powierza dane i na jakiej podstawie?
Umowa powierzenia – co to jest?
Zapisy RODO jak przechowywać dokumenty dotyczą wielu kwestii. Jedną z nich jest umowa powierzenia. O umowie powierzenia mówimy wtedy, kiedy podmiot zewnętrzny, działający w imieniu administratora danych osobowych przetwarza powierzone dane osobowe. To przetwarzanie odbywa się zgodnie z ustaleniami administratora danych.
To administrator określa cel i sposób przetwarzania. Do czynności dokonywanych w ramach powierzenia należą m. in.:
- gromadzenie
- usuwanie
- przechowywanie
- edytowanie.
Ogólne zasady powierzenia danych
Dane osobowe należy przekazywać tylko podmiotowi uprawnionemu do ich przetwarzania. Inaczej organ kontrolny może nałożyć bardzo wysoką karę. Dlatego powierzenie danych musi mieć zawsze właściwe uzasadnienie prawne. Warto, żeby uniknąć kary, odbyć szczegółowe szkolenie z zakresu danych osobowych i ich ochrony.
Podmiot, któremu powierzono dane nie powinien wykorzystywać ich do realizacji własnych celów.
Przykłady powierzenia danych
Powierzenie danych związane jest zazwyczaj z outsourcingiem usług. Najczęściej spotykane przykłady powierzenia danych to m. in.:
- powierzenie przez firmę czynności związanych z księgowością zewnętrznemu biuru rachunkowemu
- zlecenie kampanii w ramach e-mail marketingu agencji reklamowej
- powierzenie usług prawnych dotyczących firmy zewnętrznej kancelarii prawnej.
- zewnętrzna obsługa BHP
- obsługa wyjazdów firmowych przez zewnętrzną firmę eventową.
Powierzenie danych a RODO
Zapisy RODO głównie skupiają się na na podmiocie przetwarzającym. Według RODO musi on zapewnić takie środki techniczne i organizacyjne, aby dane osobowe były odpowiednio zabezpieczone.
RODO pozwala podmiotowi, któremu dane zostały powierzone na skorzystanie z innego podmiotu przetwarzającego, tak zwanego podprocesora. Musi jednak na to wyrazić zgodę administrator danych.
Może on zdecydować się na:
- zgodę szczegółową – administrator wskazuje konkretnego podprocesora
- zgodę ogólną – podmiot przetwarzający informuje administratora o planach dotyczących dalszego przetwarzania danych.
Jak powinna według RODO wyglądać umowa powierzenia?
Taka umowa (zawarta między administratorem danych a podmiotem przetwarzającym) powinna zawierać:
- dane administratora danych
- dane podmiotu przetwarzającego dane na zlecenie administratora
- przedmiot i czas trwania przetwarzania danych
- charakter i cel przetwarzania
- rodzaj powierzanych danych osobowych
- kategorie osób, których dane dotyczą
- obowiązki i prawa administratora.
Obowiązki podmiotu, któremu powierzono dane
W art. 28 ust. 3 pkt. a-h RODO zostały określone obowiązki podmiotu, któremu powierzono dane do przetwarzania. Należą do nich takie zapisy jak m. in. :
- dane przetwarzane są wyłącznie na udokumentowane polecenie administratora
- osoby przetwarzające dane osobowe zobowiązane się do zachowania tajemnicy
- poprzez odpowiednie środki techniczne i organizacyjne podmiot przetwarzający pomaga administratorowi w wypełnieniu obowiązku odpowiadania na żądania osób, których dane dotyczą
- po zakończeniu świadczenia usługi, zależnie od decyzji administratora, usuwa się lub zwraca mu wszelkie dane osobowe oraz usuwa wszystkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
Dodatkowe zapisy
Powyższe punkty muszą być zawarte w umowie. Jednak, zależnie od konkretnego przypadku mogą być jeszcze uzupełnione o inne zapisy, które ustalają między sobą administrator danych i podmiot przetwarzający.