Na naszym blogu regularnie poruszamy kwestie związane z outsourcingiem IT, jak również tematy związane z RODO i ochroną danych osobowych w firmie. Dziś oba te wątki łączą się i mają jeden wspólny mianownik, którym jest umowa powierzenia danych osobowych.
Podpowiemy Wam co to takiego, co taki dokument powinien zawierać, a na koniec udostępnimy Wam wzór umowy powierzenia danych do pobrania za darmo.
Powierzanie danych osobowych w firmie
Patrząc na rozwój outsourcingu usług (nie tylko IT) łatwo dojść do wniosku, że w obecnych czasach nie trzeba już nikogo przekonywać, czy uświadamiać o korzyściach jakie z niego płyną. Coraz więcej firm to dostrzega i aktywnie korzysta z zewnętrznego wsparcia biznesowego. Zarówno jeśli chodzi o obsługę informatyczną firmy ale też obsługę księgową, prawną, serwisową itd.
Poza oczywistymi zaletami tego rozwiązania, pojawiają się też dodatkowe obowiązki prawne, które firmy outsourcingowe muszą przestrzegać i pilnować. Dotyczy to w szczególny sposób przetwarzania danych osobowych i ich powierzania.
Administrator danych osobowych może, na podstawie umowy powierzenia przetwarzania danych osobowych, przekazać dane innemu podmiotowi. Konsekwencją rozporządzenia o ochronie danych osobowych, które weszło w życie w maju 2018 roku, jest konieczność tworzenia umów, które w szczegółowy sposób regulują zasady powierzania tych danych. Mowa tutaj o art. 28 RODO, określającym podstawowy katalog zapisów takiej umowy.
Jak powinna zostać sporządzony dokument, co powinien zawierać, aby spełniać wymogi nałożone przez RODO i jednocześnie zabezpieczać interesy stron?
Umowa powierzenia danych – co zawiera?
Podstawowa sprawa: umowa powierzenia danych musi być zawarta na piśmie. W wersji papierowej lub elektronicznej. Musi też zawierać dwa główne elementy: zakres przetwarzania i jego cel. Zakres – czyli jakie dane powierzamy. Cel – czyli po co powierzamy dane.
Administrator danych osobowych, powierzając przetwarzanie danych innemu podmiotowi, powinien wskazać jakie dokładnie dane będą podlegały powierzeniu. Dodatkowo mu wskazać przyczyny powierzenia tych danych. Wskazanie zakresu i celu przetwarzania danych obliguje podmiot, któremu dane powierzono, do przetwarzania ich wyłącznie we wskazanych w umowie obszarach.
Oczywiście w umowie powierzenia danych osobowych musi znaleźć się nie tylko zakres i cel. Niezbędne będzie wskazanie:
- przedmiotu przetwarzania danych,
- czasu trwania przetwarzania danych,
- charakteru przetwarzania danych,
- kategorię osób, których dane dotyczą,
- rodzaj przetwarzanych danych,
- obowiązki i prawa administratora,
- obowiązki podmiotu przetwarzającego
- dodatkowe, indywidualne ustalenia
Zleceniodawca zwykle oświadcza, iż jest administratorem danych osobowych i posiada pełne prawo do ich przetwarzania. Zleceniobiorca natomiast oświadcza, iż spełnia warunki techniczne i organizacyjne, o jakich mowa w przepisach o danych osobowych.
Dodatkowo, administrator danych osobowych może wskazać w umowie, iż zastrzega, by podmiot, który otrzymuje powierzone dane, nie podpowierzał ich innym podmiotom. Może również zezwolić na podpowierzenie danych osobowych, ale wyłącznie podmiotom wskazanym w umowie i na szczegółowo określonych zasadach zgodnych z RODO.
Przy powierzaniu danych, administrator nadal ma obowiązek czuwać na prawidłowością ich przetwarzania. Ta odpowiedzialność nie ulega zmianie. Warto zatem, aby w umowie znalazły się zapiski dotyczące wewnętrznej kontroli podmiotów, którym powierza się dane. Odpowiedzialność za przestrzeganie przepisów spoczywa na administratorze danych ale nie wyłącza to w żaden sposób z odpowiedzialności prawnej za przetwarzanie danych niezgodnie z tą umową. Można zatem powiedzieć, że administrator powierzając dane podmiotom, przenosi na nich prawa i odpowiedzialność, która zostaje rozłożona na pół.
Wzór umowy do pobrania
Pamiętajcie, że powierzenie danych osobowych, nie zawsze wymusza tworzenie odrębnych umów. Zapisy dotyczące powierzenia mogą być częścią jednej umowy o współpracy. My natomiast przygotowaliśmy wzór umowy powierzenia, który stanowi oddzielny dokument. Potraktujcie go jako wzór, szablon, a nie gotowiec, który wystarczy wydrukować i zabrać na spotkanie 😉
Dobrze podejść do tematu indywidualnie. W niektórych przypadkach może pojawić się konieczność naniesienia dodatkowych punktów umowy, w zależności o charakteru współpracy.
RODO reguluje treść umów powierzenia w dużo szerszym zakresie, niż do tej pory. Zwiększa zakres odpowiedzialności za przetwarzanie danych i ich powierzanie. Mamy nadzieję, że udostępniony wzór będzie dla Was praktyczną wskazówką i pomocą przy tworzeniu dokumentacji zgodnej z przepisami o ochronie danych osobowych w firmie.
Powodzenia!