Co w Prawie Piszczy | Powierzenie danych do przetwarzania – nowe zasady, nowe umowy
7497
post-template-default,single,single-post,postid-7497,single-format-standard,ajax_fade,page_not_loaded,,wpb-js-composer js-comp-ver-5.4.4,vc_responsive

Powierzenie danych do przetwarzania – nowe zasady, nowe umowy

Dane osobowe są przekazywane w związku z zawarciem i realizacją praktycznie każdej umowy. Mogą być to dane przedsiębiorców, członków zarządu, osób kontaktowych, pracowników czy jakiekolwiek inne bazy danych. Przekazanie danych innemu podmiotowi może mieć co do zasady jedną z dwóch form: powierzenia danych do przetwarzania (relacja administrator – podmiot przetwarzający) albo udostępnienia (relacja administrator – administrator).

Określenie, czy mamy do czynienia z powierzeniem czy z udostępnieniem wymaga jednak zrozumienia danej relacji i warunków umowy, w tym głównie celu, dla którego dane są przekazywane. Istotną wskazówką, że dochodzi do powierzenia danych osobowych, jest przede wszystkim rola, jaką w tym procesie odgrywa podmiot otrzymujący dane osobowe.

Na przykład zlecając wydruk wizytówek czy identyfikatorów, a także outsourcując usługi kadrowo-płacowe czy IT, mamy do czynienia z powierzeniem. Ale już przekazanie listy pracowników w celu umożliwienia wstępu np. na budowę czy przekazanie danych osób kontowych należy zakwalifikować raczej jako udostępnienie danych osobowych. Najprościej ujmując powierzenie danych do przetwarzania to relacja, w której podmiot przetwarzający działa na zlecenie administratora i dokonuje w jego imieniu określonych operacji na danych.

Forma

RODO, jak się na pierwszy rzut oka zdaje, wprowadza rewolucyjną zmianę dotyczącą formy umowy powierzenia danych osobowych. Dotychczas wymagała ona formy pisemnej. Szeroko głoszono, że RODO wprowadziło novum stanowiąc, że umowa powierzenia danych osobowych ma formę pisemną w tym formę elektroniczną. Pojęcie formy elektronicznej użyte w RODO wywołało jednak burzę wątpliwości i spekulacji.

Część praktyków i doktryny wskazuje, że unijny prawodawca miał na myśli podpis elektroniczny weryfikowany kwalifikowanym certyfikatem, nie zaś formę dokumentową. Druga część wskazuje, że wystarczające będzie zawarcie umowy np. w formie mailowej.

W istocie przyjęcie pierwszego stanowiska oznacza, że wieszczona rewolucja co do uproszczenia wymogu formy umowy powierzenia jest w zasadzie iluzoryczna.

Na chwilę obecną trudno dać jednak jednoznaczną odpowiedź, która koncepcja jest właściwa. Pozostaje czekać na stanowisko GIODO / PUODO, które rozwieje wątpliwości i pogodzi wszystkie strony sporu. Zdaje się jednak, że intencją unijnego prawodawcy było uwolnienie umowy powierzenia wyłącznie od formy pisemnej i umożliwienie zawierania jej także za pośrednictwem np. maila.

Zawartość umowy

Sam fakt identyfikacji, że dochodzi do powierzenia danych i wymagane jest zawarcie odpowiedniej umowy to dopiero początek. Kolejnym krokiem jest sformułowanie umowy o odpowiedniej treści. RODO wprowadza nowe postanowienia, które muszą znaleźć się w umowie powierzenia.

Głównym źródłem zmian w treści umów powierzenia jest art. 28 RODO, który istotnie uszczegóławia elementy umowy powierzenia, a są to:

  1. przedmiot przetwarzania;
  2. czas trwania przetwarzania;
  3. charakter i cel przetwarzania;
  4. rodzaj danych osobowych (zwykłe, szczególne kategorie danych);
  5. kategorie osób, których dane dotyczą;
  6. obowiązki i prawa administratora;
  7. obowiązki i prawa podmiotu przetwarzającego opisane w art. 28 lit. a) – h) RODO.

Poza powyższym sugerujemy, aby umowa powierzenia przewidywała okres, w którym podmiot przetwarzający powinien zgłosić administratorowi fakt wystąpienia incydentu, polegającego na naruszeniu ochrony danych osobowych. Zgodnie z RODO sam administrator ma na zgłoszenie do organu nadzorczego jedynie 72 godziny, więc dobrze, aby sam uzyskał informacje w odpowiednio krótszym czasie (np. 24 czy 48 godzin od stwierdzenia naruszenia).

Na marginesie warto mieć na uwadze, że Komisja Europejska lub PUODO w najbliżej przyszłości powinny określić / przyjąć standardowe klauzule umowne, na których w całości lub w części będzie mogła opierać się umowa powierzenia danych osobowych.

Podpowierzenie

Regulacji w RODO doczekał się również temat podpowierzenia przetwarzania danych osobowych, wymagający analogicznego stosowania przepisów o powierzeniu.

Wprowadzono wymóg uprzedniej zgody administratora na podpowierzenie, dzieląc ją na dwa rodzaje:

  1. szczegółowa zgoda na konkretnego/ konkretnych przetwarzających;
  2. ogólna zgoda na korzystanie z usług dalszego przetwarzającego.

W drugim przypadku podmiot przetwarzający ma obowiązek informowania o wszelkich zamierzonych zmianach dotyczących dodania nowego lub zastąpienia dotychczasowego podmiotu przetwarzającego. Ma to na celu umożliwienie skorzystania przez administratora z przysługującego mu prawa sprzeciwu.

Oczywiście administrator w umowie z podmiotem przetwarzającym może określić dodatkowe wymagania np. wobec ew. podpowierzenia.

Aneksowanie

Umowy powierzenia zawarte przed 25 maja 2018 r., a niezawierające postanowień wymaganych przez RODO, wymagają jak najszybszego aneksowania w celu dostosowania ich do nowego porządku prawnego. Będzie wymagało to istotnego zaangażowania po stronie przedsiębiorców i identyfikacji w ramach jakich procesów i stosunków umownych dochodzi do powierzenia danych do przetwarzania.

 

Autor: Igor Schwenk

aplikant adwokacki

E: igor.schwenk@olesinski.com

Zaproponuj znajomym
Brak komentarzy.

skomentuj