Jak powierzać dane zgodnie z RODO

maj 13, 2018Ochrona danych

Na pewno słyszałeś coś o powierzeniu przetwarzania, że jest ktoś taki jak procesor.

Tak, tak, dobrze przeczytałeś „procesor”, czyli podmiot, któremu powierzasz dane swoich klientów, czytelników w jakimś konkretnym celu.

W tym wpisie dowiesz się dlaczego korzystając z usług firm zewnętrznych musisz zainteresować się umową powierzenia przetwarzania, o co w tym chodzi, jak taka umowa powinna wyglądać, a na końcu znajdziesz listę najważniejszych elementów, które musisz zawrzeć w umowie powierzenia.

Powierzenie przetwarzania

Korzystanie z usług wyspecjalizowanych podmiotów zewnętrznych (outsourcing) jest czymś normalnym w prowadzeniu biznesu.

Chyba nikt realnie patrzący na swoją firmę nie wyobraża sobie, że będzie jednocześnie programistą, pakowaczem, kurierem, księgowym i prezesem w jednej osobie.

No dobra….. na początku działalności, właściciele firm łączą w sobie wiele funkcji, ale jednak zdarza się i to nierzadko, że korzystamy z usług innych podmiotów, jak chociażby wspomniana usługa księgowo-kadrowa, czy rozwiązania chmurowe, dostawcy aplikacji.

Podmioty zewnętrzne świadczące usługi mają styczność z danymi osobowymi administrowanymi przez zleceniobiorcę (Ciebie, Twoją firmę).

Jestem procesorem, czyli …

Na gruncie przepisów o ochronie danych osobowych usługodawcy, którzy przetwarzają w imieniu klienta korzystającego z ich usług, dane osobowe niezbędne do wykonywania umowy (np. biuro księgowe przetwarza dane osób, dla których wystawiłeś faktury dokonując rozliczeń i składając deklaracje do US).

Dokonują tego wyłącznie w celu i w sposób określony przez administratora w umowie, w innym akcie prawnym lub w wydanym przez niego poleceniu.

Wówczas takie podmioty występują w roli podmiotu przetwarzającego zwanego również procesorem.

Wybór podmiotu przetwarzającego

Administrator jest zobowiązany korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych spełniało wymogi wynikające z RODO.

Co zatem zrobić?

Najlepiej zapytaj swojego dostawcę, czy wdrożył u siebie RODO.

Otrzymany od niego mail lub oświadczenie na papierze będziesz miał jako dowód, że wybór Twój był właściwy, a proces zagwarantował dostosowanie u siebie środków spełniających wymogi RODO.

Niezależnie czy jesteś małym przedsiębiorcom w relacji z dużym koncernem, po prostu wyślij maila lub pismo z pytaniem.

Nierówność stron nie będzie tutaj uznawana za wytłumaczenie dla przyjmowania przez administratora warunków umów niezgodnych z przepisami o ochronie danych.

Na szczęście duże firmy już od dawna zaczęły wdrażać nowe regulacje.

Nie czekaj do 25 maja. Już dzisiaj możesz wysłać takiego maila i poczekać na odpowiedź.

Co, jeśli jej nie dostaniesz?

Zgodnie z przepisami, po 25 maja nie powinieneś korzystać z usług podmiotów, które nie gwarantują bezpieczeństwa danych przewidzianych w RODO.

Podstawa prawna umowy powierzenia przetwarzania danych

Przejdźmy teraz do samej umowy powierzenia. Rozporządzenie 2016/679 wprowadza dwie alternatywne podstawy takiej umowy, tj.:

umowę lub
inny instrument prawny podlegający prawu Unii lub innego pastwa członkowskiego, które wiążą administratora i podmiot przetwarzający.

Dla podmiotów w sektorze prywatnym, jak i dla branży e-commerce istotne znaczenie ma umowa jako podstawa przetwarzania powierzonych danych osobowych.

Forma umowy powierzenia

Dotychczasowe przepisy wymagały formy pisemnej, chociaż co ważne, nie zastrzegały rygoru nieważności dla tej formy.

RODO trochę to modyfikuje. Zgodnie z art. 28 ust. 9 RODO umowa powierzenia musi mieć formę pisemną, przy czym wymóg ten spełnia także forma elektroniczna, co jest dużym ułatwieniem dla usług świadczonych drogą elektroniczną.

Elementy umowy powierzenia

Poza odpowiednią formą (żadna ustna umowa) należy zatroszczyć się, aby znalazły się w niej postanowienia, które przewiduje RODO.

Po pierwsze – określenie stron umowy.

Kolejnym elementem jest opis przedmiotu przetwarzania.

Najczęściej jest on dokonywany przez pryzmat umowy podstawowej (umowy o świadczenie usług hostingowych, czy obsługi księgowej lub innej umowy wiążącej Cię z firmą zewnętrzną).

Określ czas trwania umowy, czyli jak długo ma ona trwać.

Musi być on określony w sposób adekwatny do trwania umowy podstawowej.

Opis tego, w jaki sposób mają być przetwarzane dane oraz z uwzględnieniem częstotliwości, zastosowanych technologii.

Wskazanie kategorii osób, których dane dotyczą.

Dla przykładu kategorią taką mogą być klienci sklepu internetowego, klienci sklepu stacjonarnego, pracownicy.

Opisz jakie dane osobowe będą przetwarzane i czy będą to dane szczególnej kategorii wobec których należy zachować wyższą niż normalnie ochronę przy ich przetwarzaniu.

Określ warunki współpracy między Tobą a procesorem tak, aby procesor wiedział, że jakie ciążą na nim obowiązki względem administratora, podmiotów danych, jak i organu nadzoru.

To tyle i aż tyle.

Mam nadzieję, że rozjaśniłam Ci kwestie dotyczące umowy powierzenia przetwarzania danych.

adw. Małgorzata Moczulska

Pomagam zrozumieć przepisy prawa i prowadzić legalnie biznes online. Moi Klienci to osoby mające odwagę spełniać marzenia o własnej firmie, w której realizują swoje pasje, ale także rozwijają dochodowe biznesy zgodnie z obowiązującymi przepisami.

Photo by Content Pixie on Unsplash

← Gdy chcesz, aby klient się zgodził RODO w HR. Jak wprowadzać ochronę danych w kadrach →