Najczęstsze błędy popełniane przy tworzeniu i zawieraniu umów powierzenia przetwarzania danych osobowych

Po wejściu w życie przepisów RODO zmieniły się częś­ciowo zasady dotyczące tworzenia i zawierania umów powierzenia przetwarzania danych osobowych. Podstawowe kwestie dotyczące powierzenia przetwarzania danych nie uległy zasadniczej zmianie, jednak RODO wprowadziło konieczność zawierania w takich umowach dodatkowych zapisów. W tej sytuacji wielu administratorów danych oraz procesorów ma wątpliwości, jak prawidłowo powinna wyglądać umowa powierzenia przetwarzania danych, co powoduje, że w takich umowach pojawia się wiele nieprawidłowości i błędów. W niniejszym opracowaniu omówiono najczęstsze błędy, jakie popełniane są przy tworzeniu i zawieraniu umów powierzenia danych.

Ważne

Zgodnie z art. 28 ust. 3 RODO administrator danych i podmiot przetwarzający w wiążącej ich umowie określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

Są to podstawowe kwestie, jakie powinny się znaleźć w umowie powierzenia przetwarzania danych osobowych. Szczegółowe zapisy mogą być względnie swobodnie redagowane przez strony, jednak są elementy, które koniecznie powinny być zawarte w takiej umowie.


Określenie przedmiotu i czasu trwania przetwarzania danych

Należy pamiętać, że umowę powierzenia przetwarzania danych osobowy zawiera się jako umowę dodatkową do umowy „pierwotnej”, np. prowadzenia obsługi księgowej, świadczenia usług hostingowych itp. W tej sytuacji należy pamiętać, że przedmiot i czas trwania umowy powierzenia powinien być tożsamy z terminem wskazanym w umowie „pierwotnej”.

Określenie rodzaju danych osobowych oraz kategorie osób, których dane dotyczą

Jednym z najczęstszych błędów, jakie pojawiają się w zawieranych umowach powierzenia przetwarzania danych osobowych, jest brak dokładnego określenia rodzaju danych osobowych, jakie będą powierzane, oraz kategorii osób, których dane dotyczą. Ważne jest, aby wskazać, jakiego rodzaju dane osobowe będą powierzane, np. imię, nazwisko, numer telefonu. Konieczne jest także określenie, jakiej kategorii osób będą dotyczyły dane, które są powierzane, np. klienci, pracownicy. Przyjmuje się jednak, że samo ogólne wyliczenie np. kategorii osób, których dane dotyczą, może być niewystarczające. W umowie powierzenia należy możliwe szeroko opisać operacje przetwarzania danych oraz wskazać ich charakter.
 

Ważne

Dokładny opis operacji przetwarzania danych jest konieczny z uwagi na obowiązki pomiotu przetwarzającego, m.in. dotyczące np. wdrożenia odpowiednich zabezpieczeń. Zawarcie w umowie powierzenia dokładnego opisu operacji przetwarzania danych pozwala zarówno administratorowi danych, jak i podmiotowi przetwarzającemu precyzyjne określić obowiązki obu stron.


Korzystanie z usług dalszego podmiotu przetwarzającego

Kolejnym zagadnieniem, które jest błędnie regulowane w umowach powierzenia przetwarzania danych, jest kwestia podpowierzenia danych osobowych.
 

Ważne

Zgodnie z art. 28 ust. 2 RODO podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgodyadministratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.


Strony zawierające umowę powierzenia często zapominają, że jeśli na etapie jej podpisania znane są dane podmiotu podprzetwarzającego, to administrator danych powinien wyrazić szczegółową pisemną zgodę na korzystanie przez procesora z jego usług. Jeśli natomiast w momencie zawierania umowy powierzenia nie są jeszcze stronom znane dane podprocesorów, administrator danych może wyrazić ogólną zgodę, z zastrzeżeniem w umowie, że podmiot przetwarzający powinien go informować o każdorazowej zmianie podmiotu podprzetwarzającego. Jest to konieczne, aby administrator danych mógł wyrazić sprzeciw wobec podpowierzenia danych konkretnemu podprocesorowi.
 

Ważne

Na etapie zawierania umowy powierzenia przetwarzania danych należy ustalić, komu dane mają być podpowierzone, czyli z czyich usług będzie korzystał podmiot przetwarzający, realizując usługę na rzecz administratora danych.

Przykładowo, jeżeli administrator danych zawiera umowę z księgową, to powinien od niej uzyskać informację, komu dane będą podpowierzone, czyli z usług jakich podmiotów będzie korzystała księgowa, np. z jakiego programu do fakturowania i prowadzenia rozliczeń, z jakiego dostawcy hostingu.

Należy pamiętać o tym, że nawet jeśli administrator danych wyraził ogólną zgodę na podpowierzenie danych, to w przypadku zmiany podprocesorów może złożyć sprzeciw, np. jeśli księgowa zmieni dostawcę hostingu na firmę, o której administrator danych wie, że nie spełnia wymogów RODO.


Konieczność dokładnego uregulowania powyższych kwestii w umowie powierzenia jest istotna z uwagi na treść art. 28 ust. 4 RODO. Zgodnie z jego zapisem, jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają, na mocy umowy, te same obowiązki ochrony danych, jak w umowie między administratorem a podmiotem przetwarzającym, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO.

Kontrola i audyty podmiotu przetwarzającego

Zgodnie z art. 28 ust. 3 pkt h RODO podmiot przetwarzający udostępnia administratorowi danych wszelkie informacje niezbędne do wykazania spełnienia obowiązków wynikających z RODO oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

W zakresie wskazanego wyżej przepisu również pojawiają się nieprawidłowości w umowach powierzenia przetwarzania danych. Często podmioty przetwarzające nie chcą się zgodzić na jakąkolwiek kontrolę czy audyt przeprowadzany przez administratora danych. Brak w umowie powierzenia zapisów regulujących te kwestię może być bardzo problematyczny. Przede wszystkim, zgodnie z przepisami art. 28 ust. 1 RODO, administrator danych ma obowiązek korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych zgodnych z RODO. Administrator danych jest zatem zobowiązany do wykazania, że wybrał odpowiedni podmiot przetwarzający, a ponadto (zgodnie treścią powołanego wyżej art. 28 ust. 3 pkt h RODO) jest zobowiązany do bieżącego sprawdzania, czy podmiot przetwarzający rzeczywiście spełnia wskazane wymogi.

W tej sytuacji brak odpowiednich zapisów w umowie może rodzić konflikty pomiędzy administratorem danych i podmiotem przetwarzającym co do zakresu, w jakim administrator jest uprawniony do przeprowadzenia kontroli lub audytu procesora. Ważne jest zatem, aby w umowie powierzenia dokładnie wskazać, jakich informacji i dokumentów może zażądać administrator danych i w jakim zakresie może przeprowadzić audyt.
 

Ważne

Zawierając umowę powierzenia przetwarzania, warto zadbać o wprowadzenie konkretnych i szczegółowych zapisów dotyczących przeprowadzania kontroli i audytu podmiotu przetwarzającego.

Poziom szczegółowości tych zapisów zależy od konkretnych usług, jakie wykonuje podmiot przetwarzający. Inaczej sytuacja będzie wyglądała w przypadku biura rachunkowego korzystającego z programu do rozliczeń, który spełnia wymogi RODO, a inaczej, gdy umowa powierzenia ma być zawarta z firmą wdrażającą usługi IT, ERP lub podobne, które wymagają korzystania z wielu często nowatorskich rozwiązań informatycznych. W takiej sytuacji zarówno zakres powierzenia danych, jak i środki, które będą wykorzystywane do ich przetwarzania, powodują, że konieczne staje się uszczegółowienie kwestii kontroli i audytów.


Koszty przeprowadzania kontroli i audytów

Warto również wskazać, że o ile konieczność wprowadzania do umowy powierzenia zapisów dotyczących kontroli i audytów staje się w praktyce coraz bardziej powszechna, to ciągle jeszcze pomija się zapisy dotyczące pokrycia kosztów takich audytów albo pojawiają się wręcz nieprawidłowe zapisy w tym zakresie.

Podkreślić należy, że o ile w niektórych sytuacjach zasadne jest obciążenie administratora danych kosztami przeprowadzenia koniecznych audytów, zwłaszcza jeśli podmiot przetwarzający rzeczywiście je poniósł, np. w umowie wskazano obowiązek przeprowadzania cyklicznych audytów przez zewnętrzny podmiot. W takiej sytuacji należy pamiętać o tym, że w umowie trzeba wyraźnie wskazać, kto powinien ponieść koszty takiego audytu. Oczywiście, jeśli strony tak ustalą, może je ponieść sam podmiot przetwarzający.
Nieprawidłowe jest natomiast żądanie przez podmiot przetwarzający, zwłaszcza jeśli jest to firma z dużą pozycją na rynku, zapłaty określonej, często wysokiej sumy za sam fakt przeprowadzenia sprawdzenia lub audytu, bez powiązania jej z rzeczywistymi kosztami takich audytów. Takie praktyki są czasami stosowane przez podmioty przetwarzające, które chcą w ten sposób zniechęcić administratorów danych do korzystania z ich uprawnień kontrolnych.

Ważne

Należy pamiętać, że dopuszczalne jest zawarcie w umowie powierzenia zapisów, na mocy których administrator danych będzie zobowiązany do pokrycia kosztów kontroli lub audytów. Jednak nie można w umowie zastrzec, że koszty te będą stanowiły z góry określoną, często bardzo wysoką kwotę.

Takie działanie można uznać za próbę zniechęcania administratora danych do realizacji jego uprawnień wynikających z przepisów RODO.


Prawidłowa forma umowy powierzenia przetwarzania danych

Artykuł 28 ust. 9 RODO stanowi, że umowa powierzenia przetwarzania danych może mieć formę pisemną, w tym formę elektroniczną. Należy podkreślić, że w prawie euro­pejskim rozumienie formy elektronicznej jest szersze niż w prawie polskim. W przepisach polskiego Kodeksu cywilnego za formę elektroniczną uważa się oświadczenia woli podpisane tzw. podpisem elektronicznym. Prawo europejskie nie jest tak restrykcyjne i dopuszcza w niektórych sytuacjach zawarcie umowy przy użyciu środków elektronicznych. Oznacza to, że do zawarcia umowy powierzenia przetwarzania danych nie jest konieczne każdorazowo podpisanie papierowego dokumentu lub pod­pisanie go podpisem elektronicznym. Może ona mieć np. formę zapisów w regulaminie świadczenia usług, który jednak administrator danych musi wyraźnie zaakceptować (np. klikając odpowiednie „okienko”, co będzie oznaczało potwierdzenie zapoznania się z treścią tego regulaminu i jego akceptację).
 

Ważne

Nie zawsze umowa powierzenia musi być zawarta w formie dokumentu podpisanego własnoręcznie lub z użyciem podpisu elektronicznego. Ważne jest jednak, aby w przypadku zawierania umowy powierzenia za pomocą środków elektronicznych (np. akceptując regulamin, który reguluje kwestie powierzenia przetwarzania danych) były w niej zawarte wszystkie zapisy, które powinny się znaleźć w takiej umowie zgodnie z art. 28 RODO.