Umowa powierzenia przetwarzania danych osobowych

Przepisy RODO swoim zakresem wpłynęły na procedurę powierzenia przetwarzania danych osobowych.

Korzystając ze wzoru umowy powierzenia należy pamiętać, że administratorzy danych korzystają z usług różnych podmiotów (np. usługi księgowe, hosting), a zakres powierzonych danych osobowych zależy od potrzeb administratora i prowadzonej przez niego działalności. Różne zatem mogą być cele, w jakich poszczególne podmioty powierzają przetwarzanie danych osobowych. Dlatego zaprezentowany wzór należy traktować jako wskazówki do sporządzenia umowy powierzenia danych osobowych dopasowanej do potrzeb danego podmiotu.

 

WSKAZÓWKA!

Zgodnie z definicjami wprowadzonymi w RODO:

 

„Administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

 

„Podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

 

Z powyższych definicji wynika, że administrator – to ten podmiot, który zbiera i przetwarza dane dla włas­nych celów i potrzeb, a podmiot przetwarzający – to podmiot, który dane przetwarza w celach określonych przez administratora danych, np. biuro rachunkowe jest podmiotem przetwarzającym, jeśli prowadzi dokumentację kadrową danej firmy (czyli przetwarza dane pracowników tej firmy powierzone mu w tym celu), natomiast to samo biuro rachunkowe może być admi­nistratorem danych w zakresie np. danych swoich pracowników, ponieważ przetwarza je w celach określonych przez siebie.

​​​​​


 

Umowa powierzenia przetwarzania danych osobowych

 

Umowa nr ............................

 

zawarta w dniu ..................... r. w ………………………………….  pomiędzy: ………………………… z siedzibą w ..…….……………… przy ul. ……………, wpisanym do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy …………….. w ................ Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS …………..……., NIP ……….....……., wysokość kapitału zakładowego ……………… zł,

reprezentowanym przez:

…………………...……………...., zwanym dalej administratorem

a

…………………………………… z siedzibą w ………………..…….…… przy ul………………, wpisanym do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy …………….. w ................ Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS …………..……., NIP ……….....……., wysokość kapitału zakładowego ……………… zł,

reprezentowanym przez:

…………………...…………….………, zwanym dalej podmiotem przetwarzającym.

 

WSKAZÓWKA!

Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego wiążącego podmiot przetwarzający i administratora danych oraz określającego:

przedmiot i czas trwania przetwarzania,

charakter i cel przetwarzania,

rodzaj danych osobowych oraz kategorie osób, których dane dotyczą,

obowiązki i prawa administratora.

 

 

§ 1

Przedmiot umowy

 

1.  W związku z realizacją umowy nr ........................ z dnia .............. r. o ............................... administrator danych powierza podmiotowi przetwarzającemu przetwarzanie
danych osobowych w zakresie określonym w niniejszej umowie.

 

WSKAZÓWKA!

Umowę powierzenia przetwarzania danych osobowych zawiera się zazwyczaj jako umowę dodatkową do pierwotnie zawieranej umowy o świadczenie usług, np. zawiera się umowę z biurem rachunkowym o oświadczenie usług księgowych i do tej umowy zawiera się dodatkowo (w formie aneksu, dodatkowych zapisów w umowie pierwotnej lub w osobnej umowie) umowę powierzenia przetwarzania danych.

​​​​​


 

2.  Zawierając niniejszą umowę, strony mają na celu uregulowanie zasad przetwarzania danych osobowych w sposób odpowiadający postanowieniom rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – ogólne rozporządzenie o ochronie danych (Dz. Urz. UE L 119, s. 1), dalej RODO.

3.  Administrator oświadcza, że jest administratorem (w rozumieniu art. 4 pkt 7 RODO) danych osobowych, które powierza.

 

§ 2

Czas trwania umowy

 

Umowa zostaje zawarta na czas określony od dnia ……………. do dnia…………..

albo

Umowa zostaje zawarta na czas realizacji umowy, o której mowa w § 1 ust. 1.

 

WSKAZÓWKA!

Określając czas trwania umowy powierzenia danych osobowych, można wskazać konkretne ramy czasowe albo wskazać, że umowa zostaje zawarta na czas realizacji umowy pierwotnej.

 

§ 3

Charakter i cel przetwarzania

 

Podmiot przetwarzający będzie przetwarzał powierzone przez administratora dane osobowe wyłącznie w celu rea­lizacji przez podmiot przetwarzający usług szczegółowo opisanych w umowie, o której mowa w § 1 ust. 1, i w sposób zgodny z niniejszą umową.

 

WSKAZÓWKA!

Określając cel i charakter przetwarzania danych, należy odwołać się do zapisów umowy pierwotnej i określonego tam zakresu usług, jakie będzie świadczył podmiot przetwarzający, np. obsługa księgowa, obsługa kadrowa. Jeżeli w danym przypadku jest to konieczne, można w tym miejscu umowy opisać szczegółowo, jakiego rodzaju czynności dotyczące przetwarzania danych osobowych będzie wykonywał podmiot przetwarzający.

​​​​​​


 

§ 4

Rodzaj danych osobowych oraz kategorie osób, których dane dotyczą

 

1.  Podmiot przetwarzający będzie przetwarzał powierzone na podstawie niniejszej umowy następujące rodzaje danych osobowych:

 

a)  dane zwykłe:

–   imię i nazwisko,

–   adres,

–   PESEL,

–   numer telefonu;

b)  dane szczególnych kategorii:

–   dokumentacja medyczna.

 

2. Przetwarzanie danych będzie dotyczyć następujących kategorii osób:

 

–   pracownicy administratora,

klienci administratora.

 

WSKAZÓWKA!

W tym paragrafie należy szczegółowo opisać, jakiego rodzaju dane osobowe są powierzone i jakiej kategorii osób dotyczą. Powyżej wskazano jedynie przykładowe dane i kategorie osób. Oczywiście, w przypadku konkretnych usług zakres tych danych będzie się zmieniał. Inne dane będzie powierzał sklep internetowy (dane potrzebne do wysyłki zamówienia, wystawienia faktur itd.), inne dane będzie powierzał administrator, który przetwarza dane szczególnych kategorii (np. przychodnia zdrowia, która przetwarza dane medyczne swoich pacjentów).

​​​​​​


 

§ 5

Obowiązki i prawa administratora

 

1.  Podmiot przetwarzający przetwarza powierzone mu dane osobowe w oparciu o udokumentowane polecenia administratora.

2.  Podmiot przetwarzający oświadcza, że przekazuje/nie przekazuje dane osobowe do państwa trzeciego lub organizacji międzynarodowej.

 

WSKAZÓWKA!

Zgodnie z art. 28 ust. 3 pkt a podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora, co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający.

Powyższe zapisy oznaczają, że podmiot przetwarzający musi poinformować administratora, jeżeli przekazuje powierzone mu dane poza Europejski Obszar Gospodarczy.

 

3.  Podmiot przetwarzający oświadcza, że osoby upoważnione do przetwarzania powierzonych mu danych osobowych zobowiązały...

Dalsza część jest dostępna dla użytkowników z wykupionym planem