Umowa powierzenia przetwarzania danych osobowych

W dobie RODO powszechne stało się dbanie o legalność przetwarzania danych osobowych. Jest to jeden z podstawowych obowiązków administratora danych osobowych. Bezsprzecznie jednym z przejawów dbałości o przetwarzanie danych osobowych jest umowa powierzenia przetwarzania danych osobowych.

Umowa powierzenia przetwarzania danych osobowych – kiedy potrzebna?

Zawarcie umowy powierzenia przetwarzania danych osobowych będzie konieczne zawsze wtedy kiedy administrator zdecyduje się powierzyć przetwarzanie danych osobowych innemu podmiotowi. W praktyce nie zawsze jest to oczywiste, czy faktycznie dochodzi do powierzenia. Dlatego warto się kierować wytycznymi Europejskiej Rady Ochrony Danych, zgodnie z którymi z powierzeniem mamy do czynienia, gdy:

• przetwarzający jest podmiotem zewnętrznym w stosunku do administratora,
• przetwarzający przetwarza dane w imieniu administratora,
• cel przetwarzania wyznaczony jest przez administratora,
• przetwarzający realizuje cel administratora,
• przetwarzający przetwarza zatem dane zgodnie z instrukcjami kontrolera.

Forma umowy

Zgodnie z treścią przepisów RODO umowa powierzenia przetwarzania danych powinna mieć „…formę pisemną, w tym formę elektroniczną.”. Użyte w rozporządzeniu sformułowanie „forma elektroniczna” budzi pewne wątpliwości. Zgodnie bowiem z art. 78¹ KC do zachowania elektronicznej formy czynności prawnej wystarcza złożenie oświadczenia woli w postaci elektronicznej i opatrzenie go kwalifikowanym podpisem elektronicznym. Wydaje się, że tak daleko idący rygoryzm prawny nie było zamierzeniem autorów rozporządzenia. W doktrynie obecny jest pogląd zgodnie z którym pojęcie „forma elektroniczna” użyte w przepisach RODO powinno być interpretowane w sposób autonomiczny, bez odwoływania się do przepisów KC. W konsekwencji postuluje się, że wystarczającym będzie również zawarcie umowy w formie dokumentowej, o której mowa w art. 77² KC. W praktyce oznaczałoby to możliwość zawarcia umowy np. poprzez wzajemne przesłanie skanów podpisanej umowy.

Co powinna zawierać umowa powierzenia przetwarzania danych?

Umowa powierzenia przetwarzania danych osobowych winna określać przede wszystkim:

• przedmiot i czas trwania przetwarzania,
• charakter i cel przetwarzania,
• rodzaj danych osobowych oraz kategorie osób, których dane dotyczą,
• obowiązki i prawa administratora.

Niezależnie od powyższego, umowa powierzenia winna określać również obowiązki podmiotu przetwarzającego takie jak:

• przetwarzanie danych jedynie na udokumentowane polecenie administratora,
• zapewnienie, że dane będą przetwarzane jedynie przez osoby posiadające upoważnienie,
• zobowiązanie do pomocy administratorowi w wywiązywaniu się przez niego z obowiązków wynikających z RODO,
• zobowiązanie do zwrot lub usuwania danych osobowych po zakończeniu świadczenia usług, z którą powiązane jest powierzenie przetwarzania danych osobowych.

Pomoc kancelarii

Kancelaria Radcy Prawnego pomaga klientom w sporządzeniu lub opiniowaniu umów powierzenia przetwarzania danych osobowych. Radca prawny Maciej Mierecki oferuje w szczególności:

• przygotowanie projektu umowy,
• opiniowanie umowy.

Osoby zainteresowane usługami kancelarii zachęcam do kontaktu telefonicznego lub poprzez formularz elektroniczny. Istnieje możliwość umówienia konsultacji telefonicznych, za pośrednictwem komunikatorów Microsoft Teams i Skype oraz spotkania osobistego. Dane kontaktowe oraz formularz elektroniczny znajdą Państwo w zakładce “Kontakt”.