ul. Kazimierza Wielkiego 1

Wrocław

+ 71 740 50 00

Obsługa klienta

Pon - Pt: 8:30 - 16:30

Godziny otwarcia

O mnie

Nazywam się Iwo Klisz, jestem adwokatem specjalizującym się w prawie ochrony danych osobowych oraz wspólnikiem zarządzającym w Kancelarii Klisz i Wspólnicy z Wrocławia, a także liderem zespołu prawników specjalistów w zakresie prawnej obsługi przedsiębiorców

więcej …

Kancelaria Klisz i Wspólnicy

ul. Joachima Lelewela 23/7
53-505 Wrocław

tel. kom. 695 560 425
tel. 71 740 50 00

e-mail: i.klisz@adwokat-wroclaw.biz.pl

O blogu

Główne Tematy

Powierzenie przetwarzania danych osobowych

powierzenie przetwarzania danych osobowych

Co oznacza powierzenie przetwarzania danych osobowych?

Otrzymałeś od swojego kontrahenta umowę powierzenia danych do podpisania ale nie wiesz czy musisz ją zawierać? Przekazujesz dane osobowe innym podmiotom i zastanawiasz się nad prawną formą takiego przekazania? A może powierzono tobie dane osobowe i chcesz je przekazać swojemu podwykonawcy? Jeżeli interesują ciebie te zagadnienia, to z tego wpisu dowiesz się o tym:

  • Kiedy należy zawrzeć umowę powierzenia danych,
  • Jakie klauzule powinny znaleźć się w umowie powierzenia,
  • W jaki sposób dokonać dalszego powierzenia danych osobowych.

Dla kogo umowa powierzenia?

Administrator danych osobowych powinien zawrzeć umowę powierzenia danych osobowych do przetwarzania z każdym podmiotem, któremu przekazuje dane osobowe w celu wykorzystywania ich w jego imieniu. Klasycznymi przykładami powierzenia danych osobowych są umowy zawierane z księgowymi oraz prawnikami obsługującymi twoją firmę. Z powierzeniem mamy do czynienia także przy innym outsourcingu procesów wewnętrznych, np. świadczeniu usług marketingowych, HR, itp.

Podmioty przetwarzające bowiem charakteryzuje to, że wykorzystują dane osobowe w celach, zakresie oraz sposobach określonych przez administratora danych. Podmiotem przetwarzającym nie będzie zatem firma wydająca kartę sportową twoim pracownikom, prywatna klinika, w której wykupujesz pakiety medyczne dla pracowników, służba medycyny pracy, itp. Jednostki te bowiem przy przetwarzaniu danych osobowych realizują własne cele, niezależne od celów administratora danych osobowych.

Jak skonstruować umowę powierzenia przetwarzania danych osobowych?

W umowie powierzenia danych osobowych, prócz jej przedmiotu i czasu trwania należy określić szereg elementów szczególnych, którymi są m.in.:

  • cel przetwarzania – cel ten wskazuje administrator danych i związany jest on z zadaniami powierzonymi podmiotowi przetwarzającemu (np. świadczenie usług pomocy prawnej, obsługa księgowa, itp.), cel należy opisać możliwie dokładnie,
  • rodzaj danych osobowych będących przedmiotem umowy – RODO nie nakazuje co prawda wskazywania kategorii danych osobowych, niemniej ograniczenie się do rodzaju może rodzić trudności w jednoznacznym określeniu kompetencji podmiotu przetwarzającego. Zalecić zatem należy podawanie kategorii danych osobowych, np. imię, nazwisko, telefon, adres, itp.
  • kategorię podmiotów, których dane są przekazywane, np. pracownicy, klienci, kontrahenci, itp.
  • obowiązki i prawa stron umowy. Wśród nich wskazać można przykładowo na prawo administratora do kontroli sposobu wykonywania umowy przez podmiot przetwarzający, czy też obowiązku podmiotu przetwarzającego do wdrożenia odpowiednich środków ochrony danych osobowych.

Co ważne, jeżeli przekazujesz dane osobowe w oparciu o opisywaną umowę, to nie musisz uzyskiwać na to zgody osób, których dane przekazujesz. Wystarczające jest w tym zakresie wskazanie kategorii do której należą podmioty przetwarzające w informacji o przetwarzaniu danych osobowych, którą wręczasz ww. osobom. Na podmiocie przetwarzającym natomiast nie spoczywa obowiązek przekazywania informacji o fakcie przetwarzania danych osobowych osobom, których dane przetwarza.

Dalsze powierzenie danych osobowych

Dotychczas obowiązująca ustawa o ochronie danych osobowych nie poruszała w ogóle tej kwestii, inaczej natomiast jest w RODO. Rozporządzenie to przewiduje bowiem, że dalsze powierzenie przetwarzania danych osobowych, czyli przekazanie ich przez podmiot, któremu dane te zostały uprzednio przekazane przez administratora, możliwe jest wyłącznie za zgodą tego ostatniego. Zgoda ta, najczęściej wprowadzana do umowy powierzenia danych, może mieć dwojaką postać:

  • zgody ogólnej – na dalsze powierzenie określonym kategoriom podmiotów,
  • zgody szczegółowej – na dalsze powierzenie konkretnym, określonym z nazwy, podmiotom.

W przypadku zgody ogólnej podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian. Co ważne, RODO wymaga aby zgoda na dalsze powierzenie danych osobowych miała formę pisemną.

W umowie dalszego powierzenia natomiast na dalszego przetwarzającego należy nałożyć te same obowiązki ochrony danych jak w umowie między administratorem a podmiotem przetwarzającym, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO.

Jeżeli ten dalszy podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego dalszego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.

Innymi słowy, jeżeli administrator danych powierzył tobie przetwarzanie danych osobowych, a ty przekazałeś je swojemu podwykonawcy w oparciu o konstrukcję dalszego powierzenia, to jeżeli twój podwykonawca naruszy przepisy o ochronie danych osobowych, wobec administratora – za owe naruszenia – ponosić będziesz ty odpowiedzialność. Rzecz jasna, w omawianym przypadku, twój podwykonawca będzie odpowiadał względem ciebie.

pozdrawiam, adwokat Iwo Klisz

Mam nadzieję, że wyjaśniłem Tobie kilka rzeczy. Jeżeli zainteresował Cię artykuł, kliknij „Lubię to” lub polub moją stronę na facebooku (Facebook adwokat Wrocław). Dla Ciebie to tylko "kliknięcie", a dla mnie to dowód, że moja praca jest przydatna, co daje mi motywację do dalszego pisania :)