Odpowiedź na pytanie, co powinna zawierać umowa o powierzenie przetwarzania danych osobowych tylko z pozoru wydaje się prosta.
RODO reguluje tę kwestię dość szczegółowo, zatem osoby tworzące dokumentację z zakresu ochrony danych nierzadko uważają, iż do stworzenia poprawnej umowy przetwarzania wystarczające jest przepisanie do niej stosownego przepisu Rozporządzenia. Administratorzy i podmioty przetwarzające powinni jednak podejść do omawianego zagadnienia inaczej i nie traktować tej umowy w kategoriach zbędnej konieczności, ale jako narzędzie pozwalające na zabezpieczenie ich interesów. W zależności od tego, w jakiej roli dany podmiot występuje w procesie przetwarzania danych – administratora, czy podmiotu przetwarzającego – interes ten może być wyrażany na różne sposoby.
Korzystanie z usług innego podmiotu przetwarzającego
Przed zawarciem umowy powierzenia administrator powinien zadecydować, czy dopuszcza skorzystanie przez podmiot przetwarzający z usług podwykonawcy, czyli tzw. dalszego podmiotu przetwarzającego (nazywanego często w umowach „podprzetwarzającym” lub „subprocesorem”). Analizując tę kwestię, administrator powinien uwzględniać konieczność zabezpieczenia powierzanych danych osobowych, ale także specyfikę działania podmiotu przetwarzającego, któremu dane mają zostać powierzone. jeżeli działalność podmiotu przetwarzającego opiera się na współpracy z podwykonawcami, należy zawrzeć w umowie postanowienia umożliwiające takie dalsze powierzenie. Brak zgody w tym zakresie powoduje, iż przekazanie jakichkolwiek danych podwykonawcom będzie prawnie niedopuszczalne.
W sytuacji, gdy administrator dopuszcza korzystanie z dalszych podmiotów przetwarzających, umowa powinna precyzyjnie określać warunki dalszego powierzenia. jeżeli krąg podwykonawców jest z góry znany i zamknięty, można wskazać te podmioty od razu w umowie, np. w postaci załącznika. RODO określa to mianem zgody szczegółowej. o ile natomiast w chwili zawierania umowy przetwarzający nie ustalił jeszcze zakresu korzystania z podwykonawców lub krąg ten jest zmienny, adekwatnym rozwiązaniem jest zawarcie w dokumencie powierzenia tzw. zgody ogólnej. W takim przypadku umowa powierzenia nie wskazuje konkretnych podmiotów, a jedynie precyzuje warunki dalszego powierzenia. W przypadku zastosowania zgody ogólnej, podmiot przetwarzający powinien informować administratora o każdym zamierzonym powierzeniu danych podwykonawcy, wskazując konkretny podmiot i umożliwiając wyrażenie sprzeciwu. Warto zatem, aby w takiej sytuacji umowa określała szczegółowo tryb akceptacji podwykonawcy. Pozwala to administratorowi kontrolować krąg podmiotów uzyskujących dostęp do powierzonych danych.
Z punktu widzenia podmiotu przetwarzającego istotnym elementem umowy powierzenia jest uregulowanie nieprzekraczalnych terminów, w których administrator powinien zająć stanowisko w odniesieniu do proponowanego podwykonawcy oraz konsekwencje nieudzielenia w tym terminie odpowiedzi. Pozwala to uniknąć sytuacji, w której z uwagi na brak akceptacji podwykonawcy, zablokowana zostanie możliwość realizacji umowy przez podmiot przetwarzający.
Jeżeli rodzaj danych lub standardy obowiązujące u administratora wymagają osobistego zaangażowania podmiotu przetwarzającego i wykluczają udział podwykonawców, należy tę kwestię określić w umowie. W sytuacji, gdy podmiot przetwarzający nie dysponuje zasobami pozwalającymi na samodzielną realizację całości usług na rzecz administratora, nawiązanie współpracy w tym zakresie będzie niemożliwe. Dla administratora taki przypadek wiąże się z koniecznością osobistego wykonania tych zadań lub znalezienia innego kontrahenta, któremu zostanie zlecona dana usługa i powierzone dane osobowe.
Pomoc przy odpowiadaniu na żądania osób, których dane dotyczą
Zgodnie z RODO, umowa powierzenia powinna zobowiązywać podmiot przetwarzający do udzielania administratorowi pomocy przy realizacji żądań osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w Rozdziale III Rozporządzenia. Chodzi tu w szczególności o przysługujące podmiotom danych prawo do bycia informowanym, prawo dostępu do danych, do sprostowania danych, do bycia zapomnianym, etc. Samo powielenie treści przepisu wprowadzającego powyższy obowiązek może wywoływać wątpliwości, w jakim zakresie podmiot przetwarzający ma spełniać w imieniu administratora te zobowiązania, w jaki sposób go wspierać oraz jakich czynności nie wolno mu wykonywać. Strony powinny te kwestie ustalić oraz precyzyjnie określić w umowie.
-
Przykład: administrator może zlecić podmiotowi przetwarzającemu wykonywanie określonych czynności, jak realizacja obowiązków informacyjnych, czy zapewnianie prawa dostępu do danych. W innym obszarze z kolei strony mogą postanowić, iż pomoc będzie wyłączona lub ograniczona jedynie do pewnych działań, takich jak przekazywanie informacji o żądaniach zgłoszonych przez osoby, których dane dotyczą.
Prawidłowo skonstruowana umowa o powierzenie przetwarzania danych osobowych powinna określać ogólne zasady realizowania pomocy, w tym sposób zawiadamiania o zgłoszeniu żądania, terminy realizacji obowiązków oraz wzory wykorzystywanych dokumentów.
Postępowanie w przypadku naruszenia ochrony danych osobowych
Szczególnie istotną kwestią, którą strony powinny określić w umowie powierzenia jest sposób postępowania w przypadku tzw. incydentu, czyli naruszenia w zakresie ochrony danych osobowych. Zgodnie z RODO, w sytuacji wystąpienia takiego naruszenia, administrator jest zobowiązany zgłosić je organowi nadzorczemu niezwłocznie, nie później jednak niż w ciągu 72 godzin od momentu stwierdzenia naruszenia. Obowiązek ten odpada, gdy jest mało prawdopodobne, by naruszenie skutkowało ryzykiem dla praw lub wolności osób fizycznych.
Jeśli dane osobowe będące przedmiotem incydentu zostały powierzone do przetwarzania, wymieniony wyżej termin rozpoczyna bieg w chwili, gdy o naruszeniu dowiedział się albo administrator albo podmiot przetwarzający – w zależności od tego, do którego z nich ta wiedza ta dotarła wcześniej. Dlatego, o ile naruszenie ma związek z działaniami podmiotu przetwarzającego lub to on je wykrył, powinien odpowiednio wcześnie powiadomić o tym administratora. Umożliwia to administratorowi zachowanie 72-godzinnego terminu na sporządzenie i wysłanie zawiadomienia do PUODO – organu adekwatnego do spraw ochrony danych osobowych. Konieczne jest zatem określenie w umowie powierzenia nieprzekraczalnego terminu na dokonanie takiego zawiadomienia. Warto, aby umowa dodatkowo precyzowała informacje, które podmiot przetwarzający jest zobowiązany przekazać administratorowi, ewentualnie wskazywała inne działania, które przetwarzający musi podjąć w związku ze zdarzeniem. Określenie tych kwestii pozwala stronom na sprawne zarządzanie zaistniałym incydentem, zminimalizowanie jego negatywnych następstw oraz w razie potrzeby wyciągnięcie konsekwencji względem strony, która nie dopełniła swoich obowiązków.
Dostęp do informacji o przetwarzaniu danych, umożliwienie przeprowadzania audytów
Powierzenie przetwarzania danych podmiotowi zewnętrznemu nie oznacza, iż administrator wyzbywa się pieczy nad swoimi danymi czy też możliwości kontroli ich przetwarzania. Przeciwnie – podmiot przetwarzający jest zobligowany zapewnić administratorowi dostęp do danych oraz przekazywać informacje potwierdzające spełnienie obowiązków nałożonych na ten podmiot w umowie i w przepisach RODO. Aby zapewnić sprawny przepływ informacji, strony powinny zamieścić w umowie powierzenia postanowienia regulujące tryb kierowania takich zapytań oraz przeprowadzania kontroli. Warto również szczegółowo uregulować kwestię audytów dotyczących przetwarzanych danych. Postanowienia umowy powinny precyzować termin, w którym podmiot przetwarzający zostanie zawiadomiony o planowanym audycie, krąg osób biorących w nim udział, zakres związanych z tym obowiązków podmiotu przetwarzającego, w tym termin na usunięcie dostrzeżonych nieprawidłowości. Określenie powyższych kwestii w umowie daje administratorowi narzędzia do weryfikowania stanu przetwarzania oraz egzekwowania obowiązków podmiotu przetwarzającego.
Sankcje
Odpowiednie skonstruowanie umowy o powierzenie przetwarzania danych osobowych nie może obyć się bez określenia sankcji za nieprzestrzeganie jej postanowień. Konstruując taką umowę administrator może zabezpieczyć swoje interesy, określając system kar umownych. Uregulowanie tych kwestii w umowie powierzenia po pierwsze, działa prewencyjnie i zniechęca podmiot przetwarzający do naruszania jej postanowień. Po drugie, instrument ten znacząco ułatwia administratorowi dochodzenie od podmiotu przetwarzającego odpowiedzialności za naruszenie przepisów Rozporządzenia lub postanowień umowy powierzenia. Zauważyć należy, iż RODO nie określa zasad odpowiedzialności podmiotu przetwarzającego względem administratora. Przepisy te umożliwiają, co prawda nałożenie surowej kary pieniężnej przez organ nadzorczy bezpośrednio na podmiot przetwarzający, jednak nie wiąże się to z jakąkolwiek rekompensatą dla administratora, który na skutek tych działań mógł ponieść szkodę. Pominięcie w umowie powierzenia kwestii odpowiedzialności powoduje, iż w razie naruszenia administratorowi nie pozostaje nic innego jak dochodzić przed sądem naprawienia szkody na zasadach ogólnych. Wiąże się to w praktyce z trudnymi do spełnienia obowiązkami dowodowymi, w tym koniecznością wykazania winy podmiotu przetwarzającego oraz określenia dokładnej wysokości wyrządzonej szkody. Ustalenie w umowie zasad odpowiedzialności, np. w postaci kary umownej pozwala na znaczne uproszczenie postępowania odszkodowawczego.
Jeśli umowę konstruuje podmiot przetwarzający, również może on podjąć działania mające na celu zabezpieczenie jego interesów w zakresie odpowiedzialności za naruszenia. Może temu służyć określenie w umowie powierzenia maksymalnego zakresu roszczeń odszkodowawczych kierowanych przez administratora. Następuje to w szczególności w postaci ograniczenia odpowiedzialności podmiotu przetwarzającego do określonej kwoty lub do krotności wynagrodzenia otrzymywanego za usługi świadczone na rzecz administratora lub poprzez postanowienie, zgodnie z którym podmiot przetwarzający ponosi odpowiedzialność wyłącznie za szkody wyrządzone z winy umyślnej.
Umowa o powierzenie przetwarzania danych osobowych RODO
Umowa o powierzenie przetwarzania danych osobowych jest jedną z najistotniejszych instytucji określonych w RODO. Zawarcie umowy powierzenia pozwala nie tylko wypełnić obowiązek prawny wynikający z RODO, ale także zabezpieczyć swoje interesy jako administratora lub podmiotu przetwarzającego. Z uwagi na możliwe konsekwencje związane z nieuregulowaniem lub niewystarczająco szczegółowym uregulowaniem istotnych dla stron kwestii, warto poświęcić tej umowie więcej uwagi lub jej skonstruowanie powierzyć profesjonaliście. Dokona on oceny potrzeb i przeanalizuje interesy reprezentowanej przez siebie strony oraz zaproponuje postanowienia w maksymalnym stopniu urzeczywistniające te cele.
Pozostałe podstawowe elementy, które powinna zawierać umowa powierzenia omawiamy w artykule – „Powierzenie przetwarzania – na co zwracać uwagę zawierając umowę o przetwarzanie danych osobowych – cz. I”.
Potrzebujesz pomocy prawnej z RODO ?
RODO to specjalizacja naszej Kancelarii. Świadczymy kompleksowe usługi prawnej z zakresu ochrony danych osobowych. o ile umowa powierzenia danych osobowych budzi Twoje wątpliwości lub masz inne pytania z RODO – zapraszamy do kontaktu z naszym biurem.