Umowa powierzenia – co powinna zawierać i kiedy jest wymagana przez RODO?

Podmioty przetwarzające dane osobowe, które korzystają z outsourcingu, zapewne miały niejednokrotnie do czynienia z umową powierzenia danych osobowych, także przed wejściem w życie Rozporządzenia o Ochronie Danych Osobowych (dalej jako: RODO). Jej zawarcie jest niezbędne w przypadku przekazywania danych osobowych innemu podmiotowi.

Umowa powierzenia jest rodzajem umowy nienazwanej, a jednocześnie instrumentem prawnym, który zabezpiecza administratora danych osobowych przed zarzutami związanymi z nielegalnym przekazaniem danych osobowych klientów, pracowników lub kontrahentów innemu podmiotowi. Umowa powierzenia jest zawierana przez administratora danych osobowych z innym podmiotem gospodarczym.

Księgowi, informatycy i inne podmioty

Współcześnie mniejsze podmioty gospodarcze chętnie korzystają z outsourcingu rezygnując z tworzenia etatów księgowego lub informatyka. Powierzenie wykonywania określonych usług na rzecz firmy może jednak wiązać się z koniecznością przekazania temu podmiotowi danych osobowych swoich pracowników, kontrahentów lub klientów.

Do powierzenia danych osobowych przetwarzanych przez jeden podmiot innemu podmiotowi dochodzi na przykład w następujących przypadkach:

• zlecenie obsługi kadrowo – płacowej pracowników biuru rachunkowemu,
• zlecenie obsługi informatycznej i usług serwisowych firmie IT,
• powierzenie archiwizacji dokumentów, w tym akt osobowych pracowników, dokumentów z zakresu rachunkowości i wykonanych umów z kontrahentami, zewnętrznej firmie.

Audyt RODO a umowy powierzenia

W umowie powierzenia należy określić strony i zakres współpracy oraz rodzaj i zakres danych osobowych, które zostaną przekazane podmiotowi przetwarzającemu. W przypadku, gdy podmiot gospodarczy przetwarza dane osobowe i korzysta z outsourcingu, ale nie zawierał z żadnymi podmiotami zewnętrznymi umów powierzenia, warto przeprowadzić audyt.

W tym przypadku audyt polega na wykonaniu spisu firm zewnętrznych, z którymi audytowany podmiot współpracuje. Następnie należy sprawdzić, które z zewnętrznych firm otrzymują dane osobowe, w celu wykonania umowy o świadczenie usług. Uzyskane w ten sposób informacje będą przydatne podczas opracowywania umów powierzenia.

Treść umowy powierzenia

Zgodnie z art. 28 RODO umowa powierzenia powinna określać przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora danych osobowych.

Umowa powierzenia powinna zawierać dodatkowo postanowienia związane z zabezpieczeniem danych osobowych przez podmiot przetwarzający. W treści umowy powierzenia należy określić precyzyjnie, w jaki sposób podmiot przetwarzający zabezpieczy dane np. przed nieuprawnionym dostępem osób trzecich. W motywie 109 RODO wskazano, że w drodze zobowiązań umownych warto przewidywać dodatkowe zabezpieczenia przetwarzania danych osobowych. Zabezpieczenia mają charakter środków organizacyjnych (np. zasada czystego biurka, ograniczony dostęp do danych osobowych przysługujący wybranym osobom) i technicznych (np. przechowywanie dokumentacji w szafach pancernych zamykanych na klucz).

Im bardziej precyzyjnie zostaną określone wymagane zabezpieczenia, tym łatwiej będzie administratorowi danych osobowych egzekwować wykonanie umowy i dochodzić odszkodowania z tytułu odpowiedzialności kontraktowej.

Zakaz dalszego przekazywania danych osobowych

W treści umowy powierzenia administrator danych osobowych może zastrzec, że podmiot przetwarzający dane osobowe nie może ich przekazywać innym podmiotom. W przypadku, gdy jest to konieczne do wykonania umowy o świadczenie usług, należy w umowie powierzenia enumeratywnie wymienić podmioty, którym powierzone dane osobowe mogą być przekazane. Niewskazanie powyższego w umowie powierzenia może doprowadzić do sytuacji, w której bez wiedzy administratora danych osobowych będą one przekazywane innym podmiotom.

Kary umowne w umowie powierzenia

Standardem w przypadku umów powierzenia są wysokie kary umowne za niewykonanie lub nienależyte wykonanie umowy. Można zastrzec je na przykład na wypadek niezapewnienia zabezpieczeń wskazanych w umowie. Nieumiejętne sformułowanie postanowienia o karze umownej może pozbawić administratora danych osobowych możliwości dochodzenia odszkodowania ponad kwotę kary umownej, dlatego warto skorzystać z pomocy doświadczonego radcy prawnego lub adwokata posiadającego wiedzę z zakresu RODO.

Obowiązki podmiotu przetwarzającego

W umowie powierzenia należy z dużą starannością i ostrożnością sprecyzować obowiązki podmiotu przetwarzającego, aby były zrozumiałe i nie dawały pola do zbyt swobodnej interpretacji. Z drugiej strony, postanowienia muszą być sformułowane w taki sposób, aby nie zawężały bezzasadnie obowiązków podmiotu przetwarzającego i jego odpowiedzialności kontraktowej.

Podmiot przetwarzający, który nie prowadzi jednoosobowej działalności gospodarczej samodzielnie, zatrudniając pracowników powinien zostać zobowiązany do tego, aby jego podwładni zachowali w tajemnicy przekazane im dane osobowe.

Współpraca dwóch podmiotów gospodarczych, w ramach której są przekazywane dane osobowe, nie ogranicza się wyłącznie do świadczenia usług i wypełniania obowiązków związanych z zabezpieczeniem i prawidłowym przetwarzaniem danych osobowych. Podmiot przetwarzający ma również obowiązek udostępniania administratorowi informacji i dokumentów potrzebnych do spełnienia obowiązków wynikających z RODO oraz w przypadku kontroli przestrzegania przepisów o ochronie danych osobowych. Powinno to znaleźć odzwierciedlenie w treści umowy powierzenia.

Forma i standardowe klauzule

Umowa powierzenia powinna zostać sporządzona w formie pisemnej, dla celów dowodowych (na potrzeby ewentualnego postępowania sądowego). Jednak umowa sporządzona w formie elektronicznej również jest skuteczna i ważna, co będzie miało znaczenie na przykład w razie kontroli z urzędu ochrony danych osobowych.

Dla ułatwienia zadania administratorom danych osobowych, Komisja Europejska wprowadziła standardowe klauzule umów powierzenia, jednakże należy pamiętać, że ich celem jest zabezpieczenie danych osobowych, nie zaś interesu administratora danych osobowych. Stąd rekomendowane jest powierzenie sporządzenia tego typu umów profesjonalnemu pełnomocnikowi.

Umowy powierzenia a zatrudnianie pracowników

Nie ma potrzeby zawierania umów z osobami zatrudnionymi przez administratora na podstawie umowy o pracę. W takim przypadku wystarczy udzielenie przez administratora upoważnienia do przetwarzania danych osobowych. Powinno być ono udzielone każdej osobie mającej dostęp do danych osobowych oraz działającej z jego upoważnienia, na jego polecenie.

Zakończenie przetwarzania

Przed postanowieniami końcowymi w umowie powierzenia powinny znaleźć się postanowienia odnoszące się do obowiązków podmiotu przetwarzającego po zakończeniu świadczenia usług na rzecz administratora. W zależności od decyzji administratora podmiot przetwarzający powinien po zakończeniu świadczenia usług usunąć dane osobowe, albo zwrócić mu je, niszcząc istniejące kopie. Wyjątkiem od tej reguły jest konieczność archiwizacji danych przewidziana przez prawo UE lub polskie.