Dlaczego przedsiębiorca powinien podpisać umowę o powierzenie danych osobowych?

Najprościej odpowiadając, dlatego, że wynika to wprost z art. 31 (obowiązującej jeszcze) ustawy o ochronie danych osobowych.

W art. 31 ustawa reguluje, że:

Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych (art. 31 ust. 1).

Zastanawiasz się zatem, z kim powinieneś podpisać taką umowę i jak to zrobić w praktyce?

Kto jest administratorem danych

Administratorem danych jest tym, kto decyduje o celach i środkach przetwarzania danych osobowych.

Jeśli zatem ty sam prowadzisz sam działalność gospodarczą, decydujesz o celu przetwarzania danych to jesteś administratorem danych.

Administrator może sam przetwarzać dane, bądź powierzyć to innemu podmiotowi.

Zlecenie przetwarzania na zewnątrz

Chodzi tutaj o sytuację zlecenia na zewnątrz przetwarzania danych. Ustawa pomija natomiast wewnętrzne stosunki i organizację pracy u administratora.

Powierzając dane innej firmie, wykorzystuje ona te dane dla ciebie.

Zlecenie może dotyczyć zarówno przetwarzania manualnego, jak i przetwarzania dokonywanego przy wykorzystaniu technik informatycznych.

Przykładowo powierzasz dane na zewnątrz w sytuacji:

• Usługi hostingowej w celu ich przechowywania na serwerze,
• Usługi systemu newsletter w celu rozsyłania wiadomości do subskrybentów, MalierLite, MailChimp
• Usługi księgowej w celu prowadzenia obsługi księgowej
• Usługi do fakturowania w celu wykorzystania oprogramowania do faktur dostępnego w chmurze.

Zaskoczony? Zastanów się zatem, czy przypadkiem nie powierzasz przetwarzanie danych innemu podmiotowi.

Jeśli tak jest, to powinieneś podpisać umowę.

Procedura podpisywania umowy

Jeśli już zawarłeś umowę, przykładowo na usługę księgową, wówczas możesz podpisać aneks do umowy lub odrębną umowę, w której powierzysz przetwarzanie danych.

Jeśli firma jest na miejscu (w PL) to nie będzie problem.

Co zrobić w przypadku systemu mailingowego?

Jeżeli firma, która udostępnia system do rozsyłania maili ma siedzibę poza Polską, należy do niej napisać z prośbą o przesłanie takiej umowy. Przykładowo MailerLite przesyła w ciągu kilku godzin.

Na pewno poza wskazaniem stron umowy, daty oraz miejsca zawarcia, należy wymienić:

• Rodzaj przetwarzanych danych wraz z nazwą zbioru zgodnie ze zgłoszoną do GIODO
• Cel w jakim dane są przetwarzane
• Zakres przetwarzania, np. do przechowywania, modyfikowania.
• Czas na jaki została zawarta umowa

Konsekwencje braku umowy

Brak podpisania takiej umowy pociąga za sobą konsekwencje w postaci ukarania karą pozbawienia wolności, ograniczenia wolności bądź karą grzywny.

Sądu Apelacyjnego w Warszawie stwierdził, że:

…odpowiedzialność za przestrzeganie przepisów spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową. Nie chodzi tu jednak o odpowiedzialność cywilną, ale o odpowiedzialność przed Generalnym Inspektorem Danych Osobowych w oparciu ustawę o ochronie danych. Natomiast w sytuacji, gdy dochodzi do naruszenia dóbr osobistych osób trzecich, w związku z bezprawnym przetwarzaniem danych, to zarówno administrator, jak i podmiot, któremu zlecono przetwarzanie danych opowiadają na zasadach ogólnych, przewidzianych w k.c. (wyr. SA w Warszawie z dnia 23.09.2015 r., VI ACa 1357/14).

Co nas czeka po wejściu RODO?

Tak, jak napisałam na początku, do 25 maja 2018r. obowiązuje dotychczasowa ustawa, więc jeśli chcesz uporządkować kwestie prawne, to zachęcam do podpisania umowy już j teraz

Po wejściu w życie RODO będą pewne ułatwienia przy zawieraniu umów o przetwarzanie danych, gdyż rozporządzenie dopuszcza  umowę w formie elektronicznej, a nie tylko w formie pisemnej, jak to było do tej pory.

Odpowiedzialność za przetwarzanie danych nie zostaje przeniesione z administratora na podmiot przetwarzający, ale będzie spoczywał na obu podmiotach.

Ponadto podmiot, który przetwarza dane musi:

• Zobowiązać się do zachowania w tajemnicy informacje, które pozyskał
• Zapewnić odpowiednie bezpieczeństwo danych, które przetwarza
• Zwrócić bądź usunąć dane wraz z kopiami po wygaśnięciu umowy

Uff, to tyle, albo aż tyle.