Nawigacja

Umowa powierzenia przetwarzania danych osobowych to umowa, którą powinien zawrzeć prawie każdy przedsiębiorca. Podobnie jak prawie każdy przedsiębiorca powinien wdrożyć ochronę danych osobowych w swojej firmie.

O ile jednak coraz więcej przedsiębiorców stara się dbać o dane osobowe, o tyle większość pomija umowę powierzenia przetwarzania danych osobowych. Mimo dobrych chęci, naruszają przepisy ustawy o ochronie danych osobowych.

Jeśli chcesz mieć pełną wiedzą na temat ochrony danych osobowych, przeczytaj ten tekst. Wytłumaczę ci, czym jest umowa powierzenia przetwarzania danych osobowych i kiedy trzeba o niej pamiętać. Na koniec, będziesz mógł również kupić gotową umowę.

Co to jest powierzenie danych?

Umowę powierzenia przetwarzania danych potrzebujesz wtedy, gdy powierzasz dane innemu podmiotowi. Dlatego, by zrozumieć konstrukcję tej umowy, musisz w pierwszej kolejności wiedzieć, czym w ogóle jest powierzenie danych.

Powierzenie danych to sytuacja, gdy przekazujesz innej firmie zebrane przez siebie dane osobowe po to, by ta firma zrobiła coś z tymi danymi w twoim imieniu.

Kilka przykładów powierzenia danych osobowych:

  • powierzenie danych hostingodawcy w celu ich przechowywania na serwerze,
  • powierzenie danych firmie obsługującej newsletter (np. MailChimp, FreshMail),
  • powierzenie danych dostawcy oprogramowania w chmurze (np. do fakturowania, system CRM),
  • powierzenie danych biuru rachunkowemu w celu świadczenia usług księgowych,
  • powierzenie danych dostawcy produktów w dropshippingu.

Z powyższymi sytuacjami spotykam się na co dzień. Prawie wszyscy moi klienci powierzają komuś dane osobowe. Najczęściej nie zdają sobie z tego sprawy, ale ja trzymam rękę na pulsie.

Wymienione sytuacje to oczywiście tylko przykłady. Do powierzenia danych może dojść w wielu innych przypadkach. Generalnie, tam gdzie jakieś usługi zlecane są na zewnątrz (outsourcing), tam pojawia się powierzenie danych.

Czym nie jest powierzenie danych?

Wiesz już, że z powierzeniem danych osobowych masz do czynienia wtedy, gdy przekazujesz dane komuś innemu, a ten ktoś wykorzystuje je w twoim imieniu i na twoją rzecz.

Ważne, byś od powierzenia danych odróżniał udostępnienie danych. To dwa różne pojęcia. Inne są zasady dotyczące powierzenia danych, a inne rządzące udostępnieniem danych.

Jak odróżnić powierzenie danych od udostępnienia danych?

W przypadku powierzenia danych, podmiot trzeci wykorzystuje dane w twoim imieniu i na twoją rzecz. W przypadku udostępnienia danych, podmiot trzeci wykorzystuje dane w swoim własnym imieniu i na swoją rzecz. Nie masz wpływu na to, co podmiot trzeci z tymi danymi zrobi.

Klasycznym przykładem udostępnienia danych jest sytuacja, gdy przekazujesz dane odpłatnie innej firmie, by ona wykorzystała je do swojego własnego mailingu reklamowego. Innymi słowy, sprzedajesz bazę danych.

Czy na powierzenie danych potrzebna jest zgoda?

Wiesz już, że powierzenie danych to coś innego niż udostępnienie danych. Wiesz, że:

  • gdy powierzasz dane innej firmie, firma wykorzystuje te dane dla ciebie,
  • gdy udostępniasz dane innej firmie, firma wykorzystuje te dane dla własnych celów.

Rozróżnienie powierzenia i udostępnienia danych ma swoją konsekwencję.

Najważniejsza różnica między powierzeniem a udostępnieniem danych polega na tym, że na powierzenie danych nie musisz mieć zgody osób, których dane posiadasz, a udostępnienie danych takiej zgody, co do zasady, wymaga.

Powierzyć dane osobowe możesz powierzyć dowolnej ilości podmiotów, nie pytając o zgodę..

Udostępnić danych osobowych bez zgody nie możesz, chyba, że wynika to z przepisów prawa (np. udostępnienie danych Policji).

Przykładowo, możesz wykorzystać system FreshMail do obsługi newslettera bez zgody użytkowników, ale nie możesz sprzedać bazy danych jeśli użytkownik nie wyraził na to zgody. Stąd w checkboxach ze zgodami często pojawiają się sformułowania, że użytkownik wyraża zgodę na udostępnienie danych podmiotom trzecim, np. partnerom usługodawcy.

Umowa powierzenia przetwarzania danych osobowych

W tej chwili powinieneś mieć już świadomość, że w prawie każdym biznesie dochodzi do powierzenia danych osobowych. Jak się słusznie domyślasz, ma to swoje konsekwencje.

Konsekwencją jest umowa powierzenia przetwarzania danych osobowych.

A w zasadzie to nie konsekwencją, lecz warunkiem.

Warunkiem zgodnego z prawem powierzenia danych jest zawarcie w tym zakresie umowy.

Art. 31 ust. 1 Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.

Ustawa o ochronie danych osobowych (przywołany art. 31) nie pozostawia wątpliwości – powierzenie przetwarzania danych możliwe jest wyłącznie w drodze umowy.

Umowa powierzenia przetwarzania danych powinna zostać zawarta na piśmie. Brak zachowania formy pisemnej nie skutkuje jednak nieważnością umowy. Rodzi natomiast problem dowodowy w razie kontroli GIODO.

Umowa może przyjąć postać odrębnej, samodzielnej umowy, ale może też stać się częścią innej umowy, np. o świadczenie usług.

W umowie należy wskazać, jakie dane są powierzane. Chodzi o wskazanie zbiorów danych, bądź tylko pewnych danych tworzących określony zbiór. Opisanie zbiorów powinno odpowiadać dokonanemu w GIODO ich zgłoszeniu.

Umowa musi obowiązkowo określać zakres i cel przetwarzania danych. Chodzi o wskazanie możliwych do wykonywania na powierzonych danych operacji oraz celu dokonywania tych operacji. Przykładowo, hostingodawca będzie uprawniony tylko i wyłącznie do przechowywania danych, ale już nie do ich modyfikowania, czy usuwania.

Warto, choć nie jest to obowiązkowe, przewidzieć w umowie, za pomocą jakich środków dane będą przetwarzane.

Podobnie, warto rozstrzygnąć jednoznacznie kwestię tego, czy podmiot, któremu dane są powierzane, może w dalszej kolejności powierzyć te dane jeszcze innemu podmiotowi w zakresie i celu wynikającym z pierwotnej umowy (tzw. podpowierzenie).

Oprócz tego, w umowie zawiera się również dodatkowe postanowienia, takie jak oświadczenia stron, dodatkowe zobowiązania, czy kary umowne. Nie będę cię jednak zanudzał i nadwyrężał twojej cierpliwości. Najważniejszą wiedzę dotyczącą umowy powierzenia przetwarzania danych osobowych już posiadłeś.

Czy umowa rzeczywiście potrzebna?

Wiesz już, czym jest powierzenie danych i jak powinna zostać skonstruowana umowa w tym zakresie. W dalszym ciągu możesz mieć jednak wątpliwości, czy taka umowa rzeczywiście jest ci potrzebna.

Skoro trafiłeś tutaj, to prawdopodobnie wdrażasz ochronę danych osobowych w swojej firmie. Jeśli tak, to umowa powierzenia jest niezbędnym elementem, by takie wdrożenie było prawidłowe.

Dlaczego?

We wniosku zgłoszeniowym do GIODO znajduje się rubryka dotycząca powierzenia danych osobowych. Jeśli chcesz prawidłowo wypełnić swoje obowiązki administratora danych, musisz dopilnować, by wskazać tutaj wszystkie podmioty, którym powierzyłeś dane. Jako dowód powierzenia powinieneś posiadać stosowne umowy.

Niezależnie od zgłoszenia do GIODO, za brak zawarcia umowy powierzenia danych możesz zostać pociągnięty do odpowiedzialności karnej. Art. 51 i 52 ustawy o ochronie danych osobowych przewidują możliwość ukarania cię karą pozbawienia wolności, ograniczenia wolności lub karą grzywny.

Oczywiście, że kontrole i kary zdarzają się stosunkowo rzadko, ale przezorny zawsze ubezpieczony – tej zasady warto trzymać się w biznesie.

Jeśli potrzebujesz pomocy w zakresie ochrony danych osobowych, napisz do mnie na adres wojciech.wawrzak@prakreacja.pl. Co dwie głowy, to nie jedna!

Wzór umowy

Na co dzień, przygotowuję umowy dla moich klientów na ich indywidualne zamówienie. Koszt przygotowania indywidualnej umowy zaczyna się od 300 zł netto + VAT = 369 zł brutto.

Umowa powierzenia przetwarzania danych osobowychJeśli jednak nie chcesz zamawiać indywidualnej umowy, możesz kupić ode mnie uniwersalny wzór umowy powierzenia przetwarzania danych osobowych za kwotę 129 zł brutto.

Zapłacisz za niego kartą płatniczą lub szybkim przelewem elektronicznym. Wzór otrzymasz w pliku .doc na swoją pocztę e-mail zaraz po dokonaniu płatności.

Wzór umowy sprawdzi się w standardowych sytuacjach. Dzięki moim komentarzom do poszczególnych postanowień, będziesz w stanie samodzielnie dostosować go do twojego przypadku.

Jeśli po zakupie uznasz, że nie chcesz sam majstrować przy umowie i chciałbyś to jednak zlecić profesjonaliście, możesz do mnie napisać i ustalimy kwotę dopłaty, za którą przygotuję dla ciebie spersonalizowaną umowę.

Jeśli chcesz kupić wzór umowy, kliknij w przycisk “Kup teraz”, a zostaniesz przeniesiony do procesu zakupowego.

Uwaga!

Możliwość zakupu wzoru umowy w sposób zautomatyzowany chwilowo niedostępna. W razie zainteresowania zakupem indywidualnym, proszę o kontakt pod adresem sklep@wojciechwawrzak.pl.

Podsumowanie

Chciałbym, byś po lekturze tego artykułu zapamiętał, że:

  • powierzenie danych to sytuacja, gdy przekazujesz zebrane przez siebie dane osobowe innej firmie po to, by ta firma zrobiła coś z tymi danymi w twoim imieniu,
  • powierzenie danych to coś innego niż udostępnienie danych,
  • powierzenie danych nie wymaga zgody osób, których dane posiadasz,
  • powierzenie danych wymaga zawarcia umowy na piśmie.

Dziękuję za twoją uwagę! W razie pytań, pisz na wojciech.wawrzak@prakreacja.pl.

Podobał ci się ten artykuł? Pokaż go innym. Dzięki poniższym przyciskom zajmie ci to dosłownie chwilę.

Dowiedz się więcej o ochronie danych osobowych:

Chcesz otrzymywać więcej porad z zakresu ochrony danych osobowych? Zapisz się na newsletter. Zero reklam, zero spamu, darmowa wiedza średnio raz w tygodniu.

Powyższych zgód udzielasz mi, czyli Wojciechowi Wawrzak, prowadzącemu działalność gospodarczą pod firmą “Usługi prawne i księgowe Wojciech Wawrzak” z siedzibą w Łodzi (93-279), ul. Tatrzańska 91/51.

  • kremuwa

    Czy naprawdę oczekuje się ode mnie, że przy okazji wykonywania swojej strony internetowej, na której dostępna jest opcja subskrypcji, podpiszę umowę na piśmie z MailChimpem? Wydaje się to niemal niemożliwe do zastosowania w praktyce, a z artykułu jasno wynika, że jeśli tego nie zrobię, złamię prawo.

  • Łukasz

    Witam,
    proszę mi podpowiedzieć, jeśli jako firma wykupiliśmy sklep internetowy w podmiocie A i dalej będąc właścicielem udostępniłem sklep drugiemu podmiotowi B. Kto powinien wypełnić wniosek do GIODO i kogo wpisać do wniosku GIODO w części: Powierzenie przetwarzania danych osobowych?

    • Jeżeli to podmiot B decyduje o celu i sposobie przetwarzania danych, czyli prowadzi za pośrednictwem sklepu sprzedaż we własnym imieniu, to on będzie administratorem. Powierzenie następuje na rzecz hostingodawcy.

  • Kamil

    Dzień dobry,

    kto jest zobowiązany do dopełnienia wymogu zawarcia umowy powierzenia danych osobowych?

    Administrator danych – np. sklep internetowy czy odbiorca – np. firma obsługująca newsletter?

    A może każdy z tych podmiotów może zostać pociągnięty do odpowiedzialności karnej za niedopełnienie wymogu zawarcia umowy?

    • Dzień dobry Panie Kamilu! Obowiązek taki ciąży na administratorze danych.

  • Karolina Hyżak

    Dzień dobry, jestem właścicielką sklepu internetowego. Dane osobowe powierzam m.in. firmie obsługującej płatności elektroniczne, która nie wymaga podpisywania umowy papierowej, wymaga jedynie zaakceptowania regulaminu(w nim zawarte są zasady powierzania danych). Czy taki regulamin jest wystarczający czy należałoby podpisać oddzielną umowę o powierzenia danych?

    • Dzień dobry Pani Karolino! Do powierzenia konieczna jest oddzielne umowa zawarta na piśmie. Niemniej jednak, w przypadku płatności elektronicznych, do powierzenia najczęściej nie dochodzi, bowiem to kupujący samodzielnie wprowadza swoje dane osobowe na stronie pośrednika płatności.

  • Marta

    Witam, gdy prowadzę sklep internetowy i korzystam z usług brokera kurierskiego to również i z nim powinnam podpisać umowę powierzenia?

    • Tak, z każdym innym dostawcą niż Pocztą Polską powinno zawierać się umowy.

  • Piotr

    Witam, mam stronę internetową na której udostępniam formularz kontaktowy dla klientów – owa strona znajduje się na serwerze w innym kraju UE. Formularz kontaktowy w formie skryptu przetwarza dane podane przez Klienta (klient – serwer) i przesyła je do chmury znajdującej się w USA (serwer – chmura). Czy w takim przypadku powinienem zawrzeć 2 umowy powierzenia przetwarzania danych (umowa z hostingodawcą + umowa z usługodawcą w USA, któremu powierzam przetwarzanie danych)?

    • Dzień dobry, Panie Piotrze! Tak, jeśli dane przechowywane są przez dwa różne podmioty, to z każdym z nich należy zawrzeć umowę powierzenia.

      • Piotr

        Dzień dobry!
        Panie Wojciechu, dziękuję bardzo za odpowiedź.
        Nurtuje mnie jeszcze tylko jedna kwestia: co w przypadku jeżeli na serwerze w UE znajduje się strona www i formularz, który tylko przetwarza i przesyła dane podane przez klienta do wspomnianej wyżej chmury? Dane w tym wypadku nie są tam przechowywane na stałe w bazie danych – czy w takim przypadku również zachodzi konieczność zawarcia umowy powierzenia przetwarzania danych z tym podmiotem?

        Z góry dziękuję za pomoc!

        • W takim przypadku uważam, że zawarcie umowy powierzenia konieczne jest wyłącznie z podmiotem, który przechowuje dane.

  • Bllu-Man

    Witam,

    Prośba o informację, czy jeżeli to ja mam przyjąć od klienta dane w celu ich przetwarzania zgodnie z umową, to czy ja również muszę być “zarejestrowanym” Administratorem danych ? , czy takiego wymogu już nie ma z mojej strony.

    Może trochę uogólniając, jakie wymogi musze spełnić aby móc przetwarzać powierzone mi dane ?

    • Dzień dobry! Podmiot, któremu zostały powierzone dane osobowe, nie jest administratorem tych danych, więc nie zgłasza zbiorów do GIODO. Niemniej jednak, ma obowiązek wdrożyć wszystkie wymagane środki bezpieczeństwa ochrony danych.

  • Tomasz Malinowski

    Dzień dobry, mam ciekawy moim zdaniem przypadek. Klient zleca mi naprawę strony internetowej, na której zbiera adresy e-mail. W wyniku braku zabezpieczeń w bazie danych jest pełno adresów należących do botów i bazę trzeba oczyścić. Czy powinien on mi na umowie powierzyć dane osobowe a ja jemu udowodnić w załączniku, że dbam o bezpieczeństwo jego danych?
    I drugi przypadek – również naprawa strony, która została zawirusowana. W tym przypadku nawet nie interesują mnie dane osobowe, ale i tak muszę zajrzeć do listy użytkowników, zresetować hasła, usunąć podejrzane konta. Logika podpowiada, że do każdej naprawy u kolejnego klienta powinienem podpisywać kolejne umowy. Zważywszy na fakt, że powinny one być sporządzane pisemnie, jest to totalnie nieżyciowe. Istnieją jakby trzy aspekty tego problemu:
    1. Powierzenie danych to problem ADO, a nie mój
    2. Jeśli ADO chce mi powierzyć dane, ja muszę się zgodzić pod rygorem nie zawarcia umowy
    3. Jeśli klient nie zgłosił bazy do GIODO, to generalnie również nie mój problem.

    Pozdrawiam!

  • Łukasz Boruta

    W jaki sposób zawrzeć taką umowę z Google odnośnie usługi G-Suite?

  • Kamil Kowalski

    Czy jako wykonawca aplikacji w której są przetwarzane dane osobowe, którą później też serwisuję, muszę podpisać ze zleceniodawcą umowę o powierzeniu danych? Serwisując aplikację mam dostęp do danych i mogę je na prośbę zleceniobiorcy zmieniać lub usuwać.

    • Tak, to typowa sytuacja, gdy potrzebna jest umowa powierzenia.

  • Witam
    Patrząc literalnie na ten przepis art 31, mając serwer w firmie trzeciej ja nie powierzam im “przetwarzania danych”… Oni mają do tych danych teoretyczny dostęp – mogą je ukraść, mogą je przeglądać bezprawnie, tak samo jak np hakerzy po włamaniu (to idąc tym śladem z hakerami też umowa ?:D), ale nie przetwarzają ich w żaden sposób – dbają o działanie usług na serwerze np bazy mysql, a nie o same dane, do których w praktyce nie zaglądają. Tak samo jak np mechanik samochodowy nie ma absolutnie zadnej potrzeby wiedzieć kto jeździł samochodem (znać dane osobowe użytkowników) żeby samochód naprawić. Skąd więc ten pomysł że hostowanie sklepu internetowego dla przykładu jest powierzaniem PRZETWARZANIA danych ? Bo gdyby tam było o powierzeniu dostępu do danych to sprawa była by czysta, ale piszę o powierzeniu przetwarzania danych.
    Pozdrawiam
    MM