Umowa powierzenia przetwarzania danych osobowych

Przepisy RODO swoim zakresem wpłynęły na procedurę powierzenia przetwarzania danych osobowych.

Korzystając ze wzoru umowy powierzenia należy pamiętać, że administratorzy danych korzystają z usług różnych podmiotów (np. usługi księgowe, hosting), a zakres powierzonych danych osobowych zależy od potrzeb administratora i prowadzonej przez niego działalności. Różne zatem mogą być cele, w jakich poszczególne podmioty powierzają przetwarzanie danych osobowych. Dlatego zaprezentowany wzór należy traktować jako wskazówki do sporządzenia umowy powierzenia danych osobowych dopasowanej do potrzeb danego podmiotu.

WSKAZÓWKA!

Zgodnie z definicjami wprowadzonymi w RODO:

„Administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

„Podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Z powyższych definicji wynika, że administrator – to ten podmiot, który zbiera i przetwarza dane dla włas­nych celów i potrzeb, a podmiot przetwarzający – to podmiot, który dane przetwarza w celach określonych przez administratora danych, np. biuro rachunkowe jest podmiotem przetwarzającym, jeśli prowadzi dokumentację kadrową danej firmy (czyli przetwarza dane pracowników tej firmy powierzone mu w tym celu), natomiast to samo biuro rachunkowe może być admi­nistratorem danych w zakresie np. danych swoich pracowników, ponieważ przetwarza je w celach określonych przez siebie.

 

Umowa powierzenia przetwarzania danych osobowych

 

Umowa nr ............................

 

zawarta w dniu ..................... r. w ………………………………….  pomiędzy: ………………………… z siedzibą w ..…….……………… przy ul. ……………, wpisanym do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy …………….. w ................ Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS …………..……., NIP ……….....……., wysokość kapitału zakładowego ……………… zł,

reprezentowanym przez:

…………………...……………...., zwanym dalej administratorem

a

…………………………………… z siedzibą w ………………..…….…… przy ul………………, wpisanym do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy …………….. w ................ Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS …………..……., NIP ……….....……., wysokość kapitału zakładowego ……………… zł,

reprezentowanym przez:

…………………...…………….………, zwanym dalej podmiotem przetwarzającym.

WSKAZÓWKA!

Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego wiążącego podmiot przetwarzający i administratora danych oraz określającego:

  • przedmiot i czas trwania przetwarzania,
  • charakter i cel przetwarzania,
  • rodzaj danych osobowych oraz kategorie osób, których dane dotyczą,
  • obowiązki i prawa administratora.

 

§ 1

Przedmiot umowy

 

  1. W związku z realizacją umowy nr ........................ z dnia .............. r. o ............................... administrator danych powierza podmiotowi przetwarzającemu przetwarzanie danych osobowych w zakresie określonym w niniejszej umowie.

WSKAZÓWKA!

Umowę powierzenia przetwarzania danych osobowych zawiera się zazwyczaj jako umowę dodatkową do pierwotnie zawieranej umowy o świadczenie usług, np. zawiera się umowę z biurem rachunkowym o oświadczenie usług księgowych i do tej umowy zawiera się dodatkowo (w formie aneksu, dodatkowych zapisów w umowie pierwotnej lub w osobnej umowie) umowę powierzenia przetwarzania danych.

 

  1. Zawierając niniejszą umowę, strony mają na celu uregulowanie zasad przetwarzania danych osobowych w sposób odpowiadający postanowieniom rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – ogólne rozporządzenie o ochronie danych (Dz. Urz. UE L 119, s. 1), dalej RODO.
  2. Administrator oświadcza, że jest administratorem (w rozumieniu art. 4 pkt 7 RODO) danych osobowych, które powierza.

 

§ 2

Czas trwania umowy

 

Umowa zostaje zawarta na czas określony od dnia ……………. do dnia…………..

albo

Umowa zostaje zawarta na czas realizacji umowy, o której mowa w § 1 ust. 1.

WSKAZÓWKA!

Określając czas trwania umowy powierzenia danych osobowych, można wskazać konkretne ramy czasowe albo wskazać, że umowa zostaje zawarta na czas realizacji umowy pierwotnej.

 

§ 3

Charakter i cel przetwarzania

 

Podmiot przetwarzający będzie przetwarzał powierzone przez administratora dane osobowe wyłącznie w celu rea­lizacji przez podmiot przetwarzający usług szczegółowo opisanych w umowie, o której mowa w § 1 ust. 1, i w sposób zgodny z niniejszą umową.

 

WSKAZÓWKA!

Określając cel i charakter przetwarzania danych, należy odwołać się do zapisów umowy pierwotnej i określonego tam zakresu usług, jakie będzie świadczył podmiot przetwarzający, np. obsługa księgowa, obsługa kadrowa. Jeżeli w danym przypadku jest to konieczne, można w tym miejscu umowy opisać szczegółowo, jakiego rodzaju czynności dotyczące przetwarzania danych osobowych będzie wykonywał podmiot przetwarzający.

§ 4

Rodzaj danych osobowych oraz kategorie osób, których dane dotyczą

  1. Podmiot przetwarzający będzie przetwarzał powierzone na podstawie niniejszej umowy następujące rodzaje danych osobowych:
    1. dane zwykłe:
      • mię i nazwisko,
      • adres,
      • PESEL,
      • numer telefonu;
    2. dane szczególnych kategorii:
      • dokumentacja medyczna.
  2. Przetwarzanie danych będzie dotyczyć następujących kategorii osób:
    • pracownicy administratora,
    • klienci administratora.

 

WSKAZÓWKA!

W tym paragrafie należy szczegółowo opisać, jakiego rodzaju dane osobowe są powierzone i jakiej kategorii osób dotyczą. Powyżej wskazano jedynie przykładowe dane i kategorie osób. Oczywiście, w przypadku konkretnych usług zakres tych danych będzie się zmieniał. Inne dane będzie powierzał sklep internetowy (dane potrzebne do wysyłki zamówienia, wystawienia faktur itd.), inne dane będzie powierzał administrator, który przetwarza dane szczególnych kategorii (np. przychodnia zdrowia, która przetwarza dane medyczne swoich pacjentów).

 

§ 5

Obowiązki i prawa administratora

  1. Podmiot przetwarzający przetwarza powierzone mu dane osobowe w oparciu o udokumentowane polecenia administratora.
  2. Podmiot przetwarzający oświadcza, że przekazuje/nie przekazuje dane osobowe do państwa trzeciego lub organizacji międzynarodowej.

WSKAZÓWKA!

Zgodnie z art. 28 ust. 3 pkt a podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora, co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający.

Powyższe zapisy oznaczają, że podmiot przetwarzający musi poinformować administratora, jeżeli przekazuje powierzone mu dane poza Europejski Obszar Gospodarczy.

  1. Podmiot przetwarzający oświadcza, że osoby upoważnione do przetwarzania powierzonych mu danych osobowych zobowiązały się do zachowania ich w tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.

WSKAZÓWKA!

Zgodnie z art. 28 ust. 3 lit. b RODO podmiot przetwarzający musi zapewnić administratora, że osoby, które upoważni do przetwarzania danych, zobowiązały się do zachowania ich w poufności, chyba że są one zobo­wiązane do zachowania tajemnicy na innej podstawie prawnej, np. lekarze.

  1. Podmiot przetwarzający oświadcza, że podjął środki zabezpieczające wymagane na mocy art. 32 RODO, w szczególności:
  • przeprowadził analizę ryzyka przetwarzania powierzonych danych osobowych i na podstawie jej wyników wdrożył odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ustalonemu ryzyku.

WSKAZÓWKA!

Podmiot przetwarzający musi zapewnić administratora, że wdrożył odpowiednie środki techniczne i organizacyjne wymagane na mocy art. 32 RODO.

 

  1. W razie dalszego powierzenia przetwarzania danych podmiot przetwarzający zobowiązuje się przestrzegać warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w art. 28 ust. 2 i 4 RODO.
  2. Administrator może zgłosić sprzeciw wobec korzystania przez wykonawcę z usług innego podmiotu przetwarzającego.

WSKAZÓWKA!

Artykuł 28 ust. 2 RODO stanowi, że podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. Należy zatem zyskać zgodę administratora na dalsze powierzenie danych osobowych (zgoda szczegółowa). Jeżeli administrator wyraził zgodę ogólną na dalsze powierzanie danych, to należy go informować o każdej zmianie (np. zmianie dostawcy usług oprogramowania albo hostingu), tak by mógł wrazić sprzeciw wobec takich zmian.

Natomiast art. 28 ust. 4 RODO stanowi, że dalszy podmiot przetwarzający musi spełniać te same obowiązki ochrony danych, jak te przewidziane w umowie między administratorem a pierwotnym podmiotem przetwarzającym.

  1. Podmiot przetwarzający zobowiązuje się pomagać administratorowi, w szczególności poprzez wykorzystanie środków technicznych i organizacyjnych, którymi dysponuje, wywiązać się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw, w szczególności prawa do żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub prawa do wniesienia sprzeciwu wobec przetwarzania, a także prawa do przenoszenia danych.

WSKAZÓWKA!

Przykładowo, biuro rachunkowe powinno pomóc administratorowi w usunięciu danych osoby, która tego żąda oraz wskazać, w jakim zakresie usunięcie danych jest niemożliwe, np. z uwagi na przepisy o rachunkowości, które wymagają przechowywania dokumentacji księgowej przez określony czas.

  1. Podmiot przetwarzający pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO w następującym zakresie:
  • Podmiot przetwarzający zgłasza administratorowi, bez zbędnej zwłoki, stwierdzone przypadki naruszenia ochrony danych osobowych.
  • Podmiot przetwarzający pomaga administratorowi zawiadomić osobę, której dane dotyczą, o takim naruszeniu ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia jej praw lub wolności.
  • Podmiot przetwarzający pomaga administratorowi w niezbędnym zakresie w przeprowadzeniu oceny skutków dla ochrony danych, w tym także w przeprowadzeniu konsultacji z organem nadzorczym.

WSKAZÓWKA!

Artykuł 28 ust. 3 lit. f stanowi, że podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO.

W tym miejscu umowy można wskazać konkretne sytuacje, w których taka pomoc będzie konieczna. Jeżeli w konkretnym przypadku nie będzie wymagane np. przeprowadzenie oceny skutków dla ochrony danych, to można te zapisy pominąć.

 

  1. Po rozwiązaniu lub wygaśnięciu niniejszej umowy podmiot przetwarzający, zależnie od decyzji administratora, usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że przepisy prawa nakazują dalsze przechowywanie powierzonych danych osobowych.
  2. Podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów dotyczący zabezpieczenia powierzonych danych osobowych.

§ 6 Postanowienia końcowe

  1. Wszelkie zmiany niniejszej umowy wymagają formy pisemnej pod rygorem nieważności.
  2. W sprawach nieuregulowanych w niniejszej umowie mają zastosowanie przepisy Kodeksu cywilnego, przepisy RODO oraz ustawy z dnia …….....……. o ochronie danych osobowych.
  3. Spory wynikłe z tytułu umowy będzie rozstrzygał sąd właściwy dla miejsca siedziby wykonawcy.
  4. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.