Umowa powierzenia przetwarzania danych osobowych

Umowa powierzenia przetwarzania danych osobowych to umowa, którą powinien zawrzeć prawie każdy przedsiębiorca. Podobnie jak prawie każdy przedsiębiorca powinien wdrożyć ochronę danych osobowych w swojej firmie.

O ile jednak coraz więcej przedsiębiorców stara się dbać o dane osobowe, o tyle większość pomija umowę powierzenia przetwarzania danych osobowych. Mimo dobrych chęci, naruszają przepisy ustawy o ochronie danych osobowych.

Jeśli chcesz mieć pełną wiedzą na temat ochrony danych osobowych, przeczytaj ten tekst. Wytłumaczę ci, czym jest umowa powierzenia przetwarzania danych osobowych i kiedy trzeba o niej pamiętać. Na koniec, będziesz mógł również kupić gotową umowę.

UWAGA: Ten artykuł powstał na bazie ustawy o ochronie danych osobowych obowiązującej do 25.05.2018 r. O nowościach związanych z RODO przeczytasz tutaj: RODO – czy naprawdę trzeba się bać?

Spis treści

Dla twojej wygody przygotowałem spis treści, który ułatwi ci poruszanie się po tej stronie.

Co to jest powierzenie danych?

Umowę powierzenia przetwarzania danych potrzebujesz wtedy, gdy powierzasz dane innemu podmiotowi. Dlatego, by zrozumieć konstrukcję tej umowy, musisz w pierwszej kolejności wiedzieć, czym w ogóle jest powierzenie danych.

Powierzenie danych to sytuacja, gdy przekazujesz innej firmie zebrane przez siebie dane osobowe po to, by ta firma zrobiła coś z tymi danymi w twoim imieniu.

Kilka przykładów powierzenia danych osobowych:

powierzenie danych hostingodawcy w celu ich przechowywania na serwerze,
powierzenie danych firmie obsługującej newsletter (np. MailChimp, FreshMail),
powierzenie danych dostawcy oprogramowania w chmurze (np. do fakturowania, system CRM),
powierzenie danych biuru rachunkowemu w celu świadczenia usług księgowych,
powierzenie danych dostawcy produktów w dropshippingu.

Z powyższymi sytuacjami spotykam się na co dzień. Prawie wszyscy moi klienci powierzają komuś dane osobowe. Najczęściej nie zdają sobie z tego sprawy, ale ja trzymam rękę na pulsie.

Wymienione sytuacje to oczywiście tylko przykłady. Do powierzenia danych może dojść w wielu innych przypadkach. Generalnie, tam gdzie jakieś usługi zlecane są na zewnątrz (outsourcing), tam pojawia się powierzenie danych.

Interesują cię współczesne techniki marketingowe? Nie przegap tych artykułów:

Czym nie jest powierzenie danych?

Wiesz już, że z powierzeniem danych osobowych masz do czynienia wtedy, gdy przekazujesz dane komuś innemu, a ten ktoś wykorzystuje je w twoim imieniu i na twoją rzecz.

Ważne, byś od powierzenia danych odróżniał udostępnienie danych. To dwa różne pojęcia. Inne są zasady dotyczące powierzenia danych, a inne rządzące udostępnieniem danych.

Jak odróżnić powierzenie danych od udostępnienia danych?

W przypadku powierzenia danych, podmiot trzeci wykorzystuje dane w twoim imieniu i na twoją rzecz. W przypadku udostępnienia danych, podmiot trzeci wykorzystuje dane w swoim własnym imieniu i na swoją rzecz. Nie masz wpływu na to, co podmiot trzeci z tymi danymi zrobi.

Klasycznym przykładem udostępnienia danych jest sytuacja, gdy przekazujesz dane odpłatnie innej firmie, by ona wykorzystała je do swojego własnego mailingu reklamowego. Innymi słowy, sprzedajesz bazę danych.

Czy na powierzenie danych potrzebna jest zgoda?

Wiesz już, że powierzenie danych to coś innego niż udostępnienie danych. Wiesz, że:

gdy powierzasz dane innej firmie, firma wykorzystuje te dane dla ciebie,
gdy udostępniasz dane innej firmie, firma wykorzystuje te dane dla własnych celów.

Rozróżnienie powierzenia i udostępnienia danych ma swoją konsekwencję.

Najważniejsza różnica między powierzeniem a udostępnieniem danych polega na tym, że na powierzenie danych nie musisz mieć zgody osób, których dane posiadasz, a udostępnienie danych takiej zgody, co do zasady, wymaga.

Powierzyć dane osobowe możesz powierzyć dowolnej ilości podmiotów, nie pytając o zgodę..

Udostępnić danych osobowych bez zgody nie możesz, chyba, że wynika to z przepisów prawa (np. udostępnienie danych Policji).

Przykładowo, możesz wykorzystać system FreshMail do obsługi newslettera bez zgody użytkowników, ale nie możesz sprzedać bazy danych jeśli użytkownik nie wyraził na to zgody. Stąd w checkboxach ze zgodami często pojawiają się sformułowania, że użytkownik wyraża zgodę na udostępnienie danych podmiotom trzecim, np. partnerom usługodawcy.

Umowa powierzenia przetwarzania danych osobowych

W tej chwili powinieneś mieć już świadomość, że w prawie każdym biznesie dochodzi do powierzenia danych osobowych. Jak się słusznie domyślasz, ma to swoje konsekwencje.

Konsekwencją jest umowa powierzenia przetwarzania danych osobowych.

A w zasadzie to nie konsekwencją, lecz warunkiem.

Warunkiem zgodnego z prawem powierzenia danych jest zawarcie w tym zakresie umowy.

Art. 31 ust. 1 Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.

Ustawa o ochronie danych osobowych (przywołany art. 31) nie pozostawia wątpliwości – powierzenie przetwarzania danych możliwe jest wyłącznie w drodze umowy.

Umowa powierzenia przetwarzania danych powinna zostać zawarta na piśmie. Brak zachowania formy pisemnej nie skutkuje jednak nieważnością umowy. Rodzi natomiast problem dowodowy w razie kontroli GIODO.

Umowa może przyjąć postać odrębnej, samodzielnej umowy, ale może też stać się częścią innej umowy, np. o świadczenie usług.

W umowie należy wskazać, jakie dane są powierzane. Chodzi o wskazanie zbiorów danych, bądź tylko pewnych danych tworzących określony zbiór. Opisanie zbiorów powinno odpowiadać dokonanemu w GIODO ich zgłoszeniu.

Umowa musi obowiązkowo określać zakres i cel przetwarzania danych. Chodzi o wskazanie możliwych do wykonywania na powierzonych danych operacji oraz celu dokonywania tych operacji. Przykładowo, hostingodawca będzie uprawniony tylko i wyłącznie do przechowywania danych, ale już nie do ich modyfikowania, czy usuwania.

Warto, choć nie jest to obowiązkowe, przewidzieć w umowie, za pomocą jakich środków dane będą przetwarzane.

Podobnie, warto rozstrzygnąć jednoznacznie kwestię tego, czy podmiot, któremu dane są powierzane, może w dalszej kolejności powierzyć te dane jeszcze innemu podmiotowi w zakresie i celu wynikającym z pierwotnej umowy (tzw. podpowierzenie).

Oprócz tego, w umowie zawiera się również dodatkowe postanowienia, takie jak oświadczenia stron, dodatkowe zobowiązania, czy kary umowne. Nie będę cię jednak zanudzał i nadwyrężał twojej cierpliwości. Najważniejszą wiedzę dotyczącą umowy powierzenia przetwarzania danych osobowych już posiadłeś.

Czy umowa rzeczywiście potrzebna?

Wiesz już, czym jest powierzenie danych i jak powinna zostać skonstruowana umowa w tym zakresie. W dalszym ciągu możesz mieć jednak wątpliwości, czy taka umowa rzeczywiście jest ci potrzebna.

Skoro trafiłeś tutaj, to prawdopodobnie wdrażasz ochronę danych osobowych w swojej firmie. Jeśli tak, to umowa powierzenia jest niezbędnym elementem, by takie wdrożenie było prawidłowe.

Dlaczego?

We wniosku zgłoszeniowym do GIODO znajduje się rubryka dotycząca powierzenia danych osobowych. Jeśli chcesz prawidłowo wypełnić swoje obowiązki administratora danych, musisz dopilnować, by wskazać tutaj wszystkie podmioty, którym powierzyłeś dane. Jako dowód powierzenia powinieneś posiadać stosowne umowy.

Niezależnie od zgłoszenia do GIODO, za brak zawarcia umowy powierzenia danych możesz zostać pociągnięty do odpowiedzialności karnej. Art. 51 i 52 ustawy o ochronie danych osobowych przewidują możliwość ukarania cię karą pozbawienia wolności, ograniczenia wolności lub karą grzywny.

Oczywiście, że kontrole i kary zdarzają się stosunkowo rzadko, ale przezorny zawsze ubezpieczony – tej zasady warto trzymać się w biznesie.

Jeśli potrzebujesz pomocy w zakresie ochrony danych osobowych, napisz do mnie na adres wojciech.wawrzak@prakreacja.pl. Co dwie głowy, to nie jedna!

Podsumowanie

Chciałbym, byś po lekturze tego artykułu zapamiętał, że:

powierzenie danych to sytuacja, gdy przekazujesz zebrane przez siebie dane osobowe innej firmie po to, by ta firma zrobiła coś z tymi danymi w twoim imieniu,
powierzenie danych to coś innego niż udostępnienie danych,
powierzenie danych nie wymaga zgody osób, których dane posiadasz,
powierzenie danych wymaga zawarcia umowy na piśmie.

Dziękuję za twoją uwagę! W razie pytań, pisz na wojciech.wawrzak@prakreacja.pl.

Dowiedz się więcej o ochronie danych osobowych:

Wzór umowy powierzenia przetwarzania danych osobowych

Wzór umowy powierzenia przetwarzania danych osobowych możesz kupić w blogowym sklepie.

BONUS: praktyczne opracowanie

Dodatkiem do tego artykułu jest opracowanie o najczęściej występujących naruszeniach ochrony danych osobowych.

Dodatek dostępny jest dla subskrybentów newslettera.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii „Analityka”.
cookielawinfo-checkbox-functional	11 months	Plik cookie jest ustawiany przez zgodę na pliki cookie RODO, aby rejestrować zgodę użytkownika na pliki cookie w kategorii „Funkcjonalne”.
cookielawinfo-checkbox-necessary	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Pliki cookie służą do przechowywania zgody użytkownika na pliki cookie w kategorii „Niezbędne”.
cookielawinfo-checkbox-others	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii „Inne”.
cookielawinfo-checkbox-performance	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii „Wydajność”.
viewed_cookie_policy	11 months	Plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent i służy do przechowywania informacji, czy użytkownik wyraził zgodę na korzystanie z plików cookie. Nie przechowuje żadnych danych osobowych.