W jaki sposób przygotować umowę powierzenia?

W świetle obowiązujących od bieżącego roku przepisów dotyczących danych osobowych każdy przedsiębiorca, który zatrudnia pracowników w oparciu o umowę zawierającą ich personalia, albo który dysponuje np. bazą nazwisk i numerów telefonów swoich klientów, jest administratorem tych danych. Jeśli taki przedsiębiorca korzysta z outsourcingu usług, których realizowanie opiera się na przetwarzaniu administrowanych przez danych osobowych, zgodnie z prawem musi zabezpieczyć sposób ich powierzenia poprzez zawarcie ze swoimi zleceniobiorcami umowy powierzenia przetwarzania danych osobowych. Co należy zawrzeć w takiej umowie?

Zacznijmy od tego, w jakich sytuacjach trzeba w ogóle zawrzeć umowę powierzenia danych osobowych. Jak dowiadujemy się w wyspecjalizowanej w zagadnieniach RODO firmie Audytel, może chodzić na przykład o:

• zlecenie zewnętrznej obsługi BHP;
• zatrudnienie zewnętrznego podmiotu w roli Inspektora Ochrony Danych;
• korzystanie z usług zewnętrznej księgowości, działu prawnego lub usług kadrowych;
• korzystanie z usług zewnętrznego archiwum albo przestrzeni serwerowej;
• świadczenie różnego rodzaju usług marketingowych przez agencję zewnętrzną.

Kwestie formalne

Ze zleceniobiorcą, który przetwarzając dane w imieniu administratora, staje się zgodnie z definicją zawartą w RODO podmiotem przetwarzającym lub procesorem, należy zawrzeć umowę powierzenia, lub za pomocą innego, przyjęty w państwie członkowskim instrumentu prawnego, ustalić i zabezpieczyć sposób przekazania oraz przetwarzania przez niego danych.   Umowa powierzenia, która stosowana jest w tym przypadku najczęściej, powinna zostać podpisana jeszcze przed przekazaniem jakichkolwiek danych osobowych.

Cel umowy, jej zakres i czas obowiązywania

Pozostałe elementy umowy powierzenia zostały ściśle sprecyzowane w art. 28 RODO. Należą do nich m.in. cel, zakres i czas obowiązywania  umowy, istotny głównie z tego względu, że po jej wygaśnięciu podmiot przetwarzający zobligowany jest do bezpiecznego i trwałego usunięcia lub, zależnie od decyzji administratora, zwrotu wszystkich przetwarzanych w jego imieniu danych wraz z ich kopiami – chyba że prawo unijne, lub prawo państwa członkowskiego nakazuje przez przepisy szczególne przechowywać je dłużej. Jeśli chodzi natomiast o cel i zakres umowy powierzenia, to uszczegółowić należy, jakie dane podmiot powierzający przekazuje podmiotowi przetwarzającemu (np. imię, nazwisko, PESEL, numer telefonu itd.), a także po co zostają one przekazane (określenie konkretnego celu przetwarzania danych w umieniu administratora) i co podmiot przetwarzający może z nimi zrobić (charakter czynności przetwarzania dokonywanych w imieniu administratora).

Kontrola i bezpieczeństwo

Podmiot przetwarzający zobowiązany jest odpowiednio chronić powierzone mu dane– m.in. przed zniszczeniem, przechwyceniem czy ujawnieniem – i to nie gorzej, niż czyni to administrator danych osobowych, czyli podmiot powierzający. Administrator ma prawo do weryfikacji, czy jego zleceniobiorca wdrożył wszelkie niezbędne środki bezpieczeństwa, adekwatne do zakresu i rodzaju kategorii przetwarzanych danych. Warto więc zawrzeć w umowie powierzenia postanowienie dotyczące prawa do audytu i inspekcji przez administratora lub wyznaczonego przez niego audytora wraz z terminem poinformowania o planowanej kontroli.

Upoważnienia i podpowierzenia

Kolejny ważny punkt dotyczy wydawanych przez podmiot przetwarzający upoważnień do przetwarzania  powierzonych danych przez określone osoby w organizacji procesora. Należy podkreślić, że upoważnienie jest czymś innym niż tzw. podpowierzenie, które ma miejsce np. wtedy, gdy obsługująca naszą księgowość firma zewnętrzna przekazuje dane jeszcze innemu przedsiębiorstwu, dostarczającemu chociażby niezbędne oprogramowanie. Warto zabezpieczyć w umowie powierzenia kwestie dotyczące ewentualnego dalszego powierzenia przez procesora powierzonych mu danych osobowych.

Inne kwestie

W umowie powierzenia wymagane są także postanowienia dotyczące poufności i postępowania w razie ewentualnego naruszenia bezpieczeństwa przetwarzanych danych osobowych (administrator ma obowiązek zgłosić je organowi nadzorczemu w ciągu 72 godzin od momentu stwierdzenia naruszenia odpowiedniej skali), a także tego, kto ponosi konsekwencje nałożenia kar na podmiot powierzający, jeśli ich powodem są zaniedbania lub błędy po stronie podmiotu przetwarzającego.