Umowa powierzenia danych osobowych

Umowa powierzenia danych osobowych

Prowadzenie działalności gospodarczej niemalże zawsze wiąże się z przetwarzaniem danych osobowych przez przedsiębiorcę, który pełni tym samym funkcję ich administratora. Najczęściej będą to dane osobowe klientów, pracowników lub użytkowników korzystających ze strony internetowej firmy. W praktyce biznesowej bardzo często dochodzi także do powierzenia danych osobowych. Ma to miejsce wówczas, gdy podmiot trzeci uzyskuje dostęp do posiadanych przez przedsiębiorcę zbiorów danych osobowych, np. świadcząc na rzecz przedsiębiorstwa usługi hostingowe, księgowe lub obsługę kurierską. Przepisy ustawy o ochronie danych osobowych nakładają na administratora pewne obowiązki, dotyczące procedury powierzania danych osobowych podmiotom zewnętrznym.

Odpowiedzialność za dane osobowe

Zgodnie z ustawową definicją, administratorem danych osobowych jest podmiot, który decyduje o celach i środkach ich przetwarzania. Przepisy wymagają, by administrator danych osobowych spełnił wachlarz obowiązków dotyczących przetwarzanych informacji. Jednym z takich obligatoryjnych działań, jest zapewnienie środków organizacyjnych i technicznych, które właściwie zabezpieczą przetwarzane dane osobowe.

Rozporządzenie MSWiA wymaga ponadto, by podmiot będący administratorem danych posiadał aktualną dokumentację przetwarzania danych osobowych. Chodzi o opracowanie wewnętrznej polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym. Powyższe wymogi muszą zostać spełnione także przez podmiot, któremu powierzane są dane osobowe. Odpowiedzialność za właściwe zabezpieczenie danych osobowych w przypadku ich powierzania, w myśl art. 34 ust. 4 ustawy o ochronie danych osobowych, ponosi zarówno administrator tych danych, jak i podmiot, któremu dane powierzono (tzw. procesor).

Forma umowy powierzenia danych osobowych
_
„Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.”

(art. 31 ust. 1 ustawy o ochronie danych osobowych)_

Zgodnie z powyższym przepisem, powierzenie danych osobowych może nastąpić wyłącznie na podstawie umowy zawartej w formie pisemnej. Zachowanie odpowiedniej formy jest niezwykle ważne, gdyż w przypadku kontroli z ramienia GIODO (Generalny Inspektor Ochrony Danych Osobowych), umowa taka z całą pewnością będzie podlegać weryfikacji przez inspektorów.

Pamiętajmy również, że umowa pisemna powinna zostać zawarta w przypadku każdego powierzenia danych osobowych, w tym także w celu ich usunięcia, gdyż czynność ta w myśl obowiązujących przepisów również stanowi przetwarzanie danych osobowych.

Obowiązkowe postanowienia umowy powierzenia

Umowa powierzenia danych osobowych musi zawierać co najmniej dwa elementy, których uregulowanie w jej treści jest obligatoryjne.

Pierwszym z nich jest określenie celu powierzania danych osobowych. Treść umowy powinna więc określać powód, dla którego powierza się dane osobowe lub okoliczności, którym powierzenie danych ma służyć. Przykładowym celem może być np. realizacja umowy handlowej lub umowy o świadczenie usług na rzecz przedsiębiorstwa. Postarajmy się w tym miejscu określić cel powierzenia danych osobowych tak precyzyjnie, jak to tylko możliwe.

Drugim wymaganym elementem jest określenie zakresu powierzanych danych osobowych. Należy dokładnie określić, jakie informacje zostają powierzone podmiotowi zewnętrznemu. W praktyce najczęściej wskazuje się tutaj nazwy zbiorów danych osobowych, które podlegają powierzeniu, dookreślając zakres danych osobowych w nich przetwarzanych, jak np. imię i nazwisko, adres zamieszkania, czy numer telefonu.

Tworząc umowę powierzenia danych osobowych warto poświęcić powyższym punktom wiele czujności, gdyż podmiot, któremu dane zostaną powierzone, będzie uprawniony do ich przetwarzania wyłącznie w celu i zakresie, który wskazany został w umowie.

Dodatkowe postanowienia umowy

Poza omówionymi wyżej elementami obligatoryjnymi, bezpieczna umowa powierzenia danych osobowych powinna regulować także inne, niemniej istotne kwestie.

Konstrukcja umowy zależy w dużym stopniu od charakteru prowadzonej działalności oraz wzajemnych relacji pomiędzy administratorem danych, a procesorem, któremu są one powierzane.

Poniżej prezentujemy najważniejsze dodatkowe postanowienia umowne, których wprowadzenie należy rozważyć podczas opracowywania umowy powierzenia.

Prawo do dalszego powierzania danych osobowych przez procesora.

W umowie można określić podmioty, którym procesor będzie mógł powierzyć przekazane przez nas dane osobowe lub zabronić dalszego ich powierzania.

Prawo do kontroli

Podmiot powierzający dane osobowe nadal pozostaje ich administratorem. Ze względu na wysoki poziom odpowiedzialności za bezpieczeństwo danych, administrator może zażądać, by w umowie przypisać mu prawo do kontrolowania procesu przetwarzania danych osobowych u swoich procesorów.

Obowiązki po wygaśnięciu umowy

W treści umowy warto podkreślić obowiązki, które wynikają z przepisów prawa powszechnego. Powielenie zapisu o obowiązku usunięcia danych osobowych przez procesora po wygaśnięciu umowy może pomóc, by w przyszłości uniknąć ewentualnych nieporozumień.

Opracowanie umowy powierzenia danych osobowych jest bardzo ważnym obowiązkiem, który spoczywa na administratorze danych osobowych. W przypadku kontroli dokonywanej przez organ ochrony danych osobowych, inspektorzy weryfikują, czy dane osobowe zostały powierzone w sposób legalny, na podstawie odpowiednio stworzonej umowy powierzenia. Ponadto, w przypadku ewentualnego zaistnienia sytuacji spornych na linii administrator-procesor, dobrze sporządzony dokument pomoże uniknąć nieporozumień i odpowiednio zabezpieczyć interesy stron.

Made with by Integree.eu