• +48 573 177 822
  • biuro@ratio-go.pl
  • Pon - Pt: 10:00 - 18:00
Facebook-f Instagram Linkedin
Facebook-f Instagram Linkedin

Umowa powierzenia przetwarzania danych

Umowa powierzenia przetwarzania danych to jeden z kluczowych dokumentów w całym systemie RODO i w praktyce znacznie więcej niż formalny załącznik do umowy handlowej. Jej głównym celem jest upewnienie się, że podmiot przetwarzający daje realną rękojmię bezpieczeństwa danych, a nie tylko deklaruje ją na papierze.

Przed powierzeniem danych administrator powinien sprawdzić, czy podmiot przetwarzający stosuje odpowiednie środki techniczne i organizacyjne oraz czy potrafi je wykazać. Rękojmia nie polega na zapewnieniu, że „wszystko jest zgodne z RODO”, lecz na faktycznej zdolności do ochrony danych przed nieuprawnionym dostępem, utratą lub ujawnieniem.

Umowa powierzenia powinna jasno określać, że podmiot przetwarzający działa wyłącznie na udokumentowane polecenie administratora i nie przekazuje danych dalej bez jego wiedzy i zgody. Szczególnie istotne jest uregulowanie korzystania z dalszych podmiotów przetwarzających, tak aby administrator zachował kontrolę nad tym, gdzie i przez kogo dane są przetwarzane.

Nie można pominąć kwestii personelu podmiotu przetwarzającego. Umowa powinna zobowiązywać procesora do zapewnienia, że dostęp do danych mają wyłącznie osoby upoważnione, zobowiązane do zachowania poufności i odpowiednio przeszkolone. To właśnie brak kontroli nad dostępem pracowników jest jedną z najczęstszych przyczyn naruszeń.

Dobrze skonstruowana umowa powierzenia nie chroni tylko administratora. Chroni również podmiot przetwarzający, bo jasno określa granice odpowiedzialności i zasady działania. W praktyce to jeden z najważniejszych elementów realnej kontroli nad bezpieczeństwem danych osobowych.

Spis treści

Umowa powierzenia przetwarzania danych osobowych

Umowa powierzenia przetwarzania danych osobowych to dokument zawierany pomiędzy administratorem danych (np. przedsiębiorcą, jednostką publiczną, organizacją pozarządową) a podmiotem przetwarzającym, czyli podmiotem, który w imieniu administratora wykonuje określone operacje na danych osobowych.

Jest to jeden z najważniejszych dokumentów wymaganych przez RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679), pełniący rolę fundamentu prawidłowej współpracy pomiędzy stronami. Jego głównym celem jest jasne określenie zasad, warunków, zakresu oraz odpowiedzialności związanej z przetwarzaniem danych osobowych. Ma to na celu zapewnienie, że każda czynność przetwarzania odbywa się zgodnie z obowiązującym prawem, w tym z zasadami bezpieczeństwa i minimalizacji ryzyka.

Umowa ta stanowi narzędzie zarządzania bezpieczeństwem informacji. Odpowiednio skonstruowana reguluje nie tylko to, jakie dane i w jakim celu są przetwarzane, ale również sposób ich ochrony, procedury postępowania w przypadku naruszenia oraz obowiązki obu stron w zakresie współpracy i nadzoru.

Brak takiej umowy lub jej nieprawidłowa treść może skutkować poważnymi konsekwencjami, w tym dotkliwymi karami finansowymi, co potwierdzają liczne decyzje Prezesa Urzędu Ochrony Danych Osobowych (PUODO).

Kim jest podmiot przetwarzający?

Podmiot przetwarzający to osoba fizyczna lub prawna, organ publiczny, jednostka organizacyjna lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. W praktyce są to najczęściej:

  • dostawcy usług IT (np. hosting, backup, chmura),
  • firmy księgowe,
  • call center,
  • agencje marketingowe,
  • zewnętrzne archiwa,
  • dostawcy usług HR.

 

Zgodnie z art. 28 RODO, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, może on korzystać wyłącznie z usług takich podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z przepisami rozporządzenia oraz chronione były prawa osób, których dane dotyczą.

Jakie są obowiązki podmiotu przetwarzającego?

Zgodnie z RODO podmiot przetwarzający (procesor) ma szereg zadań, których celem jest zapewnienie bezpieczeństwa danych osobowych oraz wspieranie administratora w realizacji jego obowiązków. Zgodnie z dobrą praktyką:

  • Przetwarzanie danych wyłącznie na podstawie zawartej umowy z administratorem, w granicach określonych jej treścią – obejmujących cel, zakres i sposób przetwarzania.
  • Zachowanie poufności – osoby mające dostęp do danych muszą być zobowiązane do zachowania tajemnicy, czy to na mocy umowy, czy przepisów prawa.
  • Stosowanie właściwych zabezpieczeń technicznych i organizacyjnych, które chronią dane przed utratą, nieuprawnionym dostępem, zniszczeniem czy nieautoryzowanym ujawnieniem.
  • Niezwłoczne informowanie administratora o incydentach bezpieczeństwa, w tym o naruszeniach ochrony danych osobowych.
  • Współpraca przy realizacji praw osób, których dane dotyczą, w szczególności w zakresie dostępu do danych, ich sprostowania, usunięcia czy ograniczenia przetwarzania.
  • Upewnienie się, że osoby przetwarzające dane w imieniu procesora zostały odpowiednio upoważnione i zobowiązane do zachowania poufności.
  • Wsparcie administratora w wypełnianiu obowiązków wynikających z RODO, takich jak prowadzenie rejestrów, analiza ryzyka czy zgłaszanie naruszeń do organu nadzorczego.
  • Usuwanie lub zwracanie danych po zakończeniu współpracy, chyba że przepisy prawa nakazują ich dalsze przechowywanie.
  • Korzystanie z podwykonawców wyłącznie za zgodą administratora i przy zachowaniu standardów ochrony danych równych tym wynikającym z umowy głównej.
  • Zapewnienie szkoleń z ochrony danych osobowych dla pracowników mających kontakt z danymi, aby podnieść poziom świadomości i bezpieczeństwa w organizacji.
umowa powierzenia przetwarzania danych

Administrator a podmiot przetwarzający

Administrator danych to podmiot – może nim być osoba fizyczna, osoba prawna, organ publiczny, jednostka organizacyjna lub inny podmiot – który samodzielnie ustala cele oraz sposoby przetwarzania danych osobowych. To właśnie administrator decyduje, dlaczego i w jaki sposób dane będą wykorzystywane, zarządza procesem ich przetwarzania, a także ponosi pełną odpowiedzialność za zapewnienie zgodności działań z przepisami o ochronie danych, w tym z RODO. Do jego obowiązków należy również wdrożenie odpowiednich środków bezpieczeństwa oraz nadzór nad podmiotami, którym dane zostały powierzone.

Podmiot przetwarzający (procesor) to z kolei podmiot zewnętrzny – osoba fizyczna lub prawna, organ publiczny, jednostka organizacyjna lub inny podmiot – który przetwarza dane osobowe wyłącznie w imieniu administratora i w oparciu o jego wyraźne, udokumentowane polecenia. Procesor nie ma prawa samodzielnie decydować o celach ani sposobach przetwarzania danych – działa jedynie w granicach określonych w umowie powierzenia przetwarzania danych. Umowa ta precyzuje m.in. zakres, cel, czas trwania oraz warunki przetwarzania, a także środki techniczne i organizacyjne wymagane do zapewnienia bezpieczeństwa danych.

Czym jest powierzenie przetwarzania danych?

Powierzenie przetwarzania danych osobowych to sytuacja, w której administrator danych przekazuje innemu podmiotowi – zwanemu podmiotem przetwarzającym (procesorem) – prawo do wykonywania określonych operacji na danych osobowych w jego imieniu i na jego zlecenie. W praktyce oznacza to, że procesor działa wyłącznie w granicach wytyczonych przez administratora i nie może wykorzystywać danych do własnych celów. To administrator zachowuje pełną kontrolę nad danymi, a także decyduje o celach i sposobach ich przetwarzania.

Relacja ta opiera się na zasadzie, że podmiot przetwarzający realizuje powierzone mu czynności zgodnie z udokumentowanymi instrukcjami administratora – zarówno w zakresie technicznym, jak i organizacyjnym. Instrukcje te mogą dotyczyć m.in. sposobu zabezpieczenia danych, metod ich przechowywania, okresu przetwarzania czy zasad udostępniania.

Podstawą legalnego powierzenia jest umowa powierzenia przetwarzania danych osobowych, która określa zakres, cel oraz warunki przetwarzania przez podmiot zewnętrzny. Umowa ta jest obowiązkowa na mocy art. 28 RODO i stanowi narzędzie, które ma zapewnić:

  • zgodność przetwarzania z przepisami prawa,
  • ochronę praw osób, których dane dotyczą,
  • zastosowanie odpowiednich środków technicznych i organizacyjnych minimalizujących ryzyko naruszenia bezpieczeństwa.

Co istotne, zgodnie z aktualną praktyką nadzorczą, odpowiedzialność administratora nie kończy się na podpisaniu umowy. Ma on również obowiązek monitorowania i weryfikowania działań podmiotu przetwarzającego, aby upewnić się, że warunki umowy są faktycznie realizowane w praktyce, a dane są przetwarzane w sposób bezpieczny i zgodny z RODO.

Co powinna zawierać umowa powierzenia przetwarzania danych?

Umowa powierzenia przetwarzania danych osobowych  musi szczegółowo regulować zasady współpracy pomiędzy administratorem a podmiotem przetwarzającym. Jej celem jest zapewnienie, że przetwarzanie odbywa się w sposób bezpieczny, zgodny z prawem i w granicach wyznaczonych przez administratora.

Dobrze skonstruowana umowa powinna określać m.in.:

  • przedmiot i cel przetwarzania – jakie dane będą przetwarzane, w jakim celu i w związku z jaką umową główną lub projektem,

  • zakres przetwarzania – jakie operacje na danych mogą być wykonywane (np. zbieranie, przechowywanie, modyfikacja, udostępnianie, usuwanie),

  • czas trwania przetwarzania – powiązany z okresem obowiązywania umowy głównej lub projektu,

  • obowiązki podmiotu przetwarzającego – w tym przetwarzanie wyłącznie na polecenie administratora, zachowanie poufności, stosowanie środków bezpieczeństwa zgodnych z art. 32 RODO, reagowanie na incydenty i naruszenia,

  • zasady dostępu do danych – ograniczenie dostępu wyłącznie do osób upoważnionych, odpowiednio przeszkolonych i zobowiązanych do zachowania tajemnicy,

  • procedury postępowania po zakończeniu współpracy – usunięcie lub zwrot danych, w tym z nośników i kopii zapasowych,

  • kontrola i audyt – prawo administratora do weryfikacji działań procesora i obowiązek wdrożenia zaleceń pokontrolnych,

  • warunki dalszego powierzenia danych – możliwość korzystania z podwykonawców wyłącznie za pisemną zgodą administratora, przy zapewnieniu takich samych standardów ochrony,

  • odpowiedzialność stron – zasady ponoszenia odpowiedzialności za naruszenia i szkody wynikające z niezgodnego z prawem przetwarzania,

  • postanowienia szczególne – np. zasady przekazywania danych poza Europejski Obszar Gospodarczy, klauzule salwatoryjne, tryb rozwiązywania sporów i zmiany umowy.

Takie zapisy jasno określają prawa i obowiązki obu stron, co minimalizuje ryzyko naruszeń i ułatwia wykazanie zgodności w razie kontroli PUODO.

powierzenie przetwarzania danych osobowych

Dlaczego sama umowa powierzenia nie wystarczy? – aktualne podejście PUODO

PUODO coraz częściej bada działania podmiotu przetwarzającego. Brak weryfikacji bezpieczeństwa i zgodności procesów z RODO był przyczyną wielu kar.

Dlatego rekomenduje się ankiety weryfikacyjne – zestawy pytań sprawdzających spełnianie wymogów wynikających z przepisów ochrony danych osobowych oraz dobrej praktyki.

Lista kontrolna do weryfikacji podmiotu przetwarzającego

Poniższe pytania można wykorzystać w formie ankiety lub audytu:

  1. Czy zgodnie z art. 29 RODO osoby przetwarzające dane w imieniu i na polecenie podmiotu przetwarzającego otrzymały imienne upoważnienia z wyszczególnieniem zakresu?
  2. Czy te osoby podpisały zobowiązanie do zachowania poufności danych i sposobów ich przetwarzania?
  3. Czy podmiot przetwarzający wyznaczył Inspektora Ochrony Danych (IOD)?
  4. Jeśli nie ma obowiązku powołania IOD – czy wyznaczono osobę odpowiedzialną za ochronę danych?
  5. Czy realizowane są wymogi art. 30 ust. 2 RODO – prowadzenie rejestru kategorii czynności przetwarzania?
  6. Czy podmiot posiada politykę ochrony danych lub inną dokumentację opisującą zasady ochrony?
  7. Czy każdy nowo zatrudniony pracownik przed rozpoczęciem pracy jest przeszkolony i zapoznany z przepisami prawa?
  8. Czy wiedza pracowników jest cyklicznie odświeżana poprzez szkolenia?
  9. Czy podmiot korzysta wyłącznie z usług podwykonawców zgodnych z RODO i zweryfikowanych?
  10. Czy podpisano umowy powierzenia z podwykonawcami?
  11. Czy w ciągu ostatnich dwóch lat przeprowadzono audyt zgodności z RODO?
  12. Czy nowe rozwiązania wdrażane są zgodnie z zasadą privacy by design?
  13. Czy stosowana jest zasada privacy by default?
  14. Czy istnieją procedury realizacji praw osób, o których mowa w art. 15–22 RODO?
  15. Czy przeprowadzono analizę ryzyka dla procesów przetwarzania?
  16. Czy wykonano ocenę skutków dla ochrony danych (DPIA) zgodnie z art. 35 RODO?
  17. Jakie środki techniczne i organizacyjne wprowadzono – i czy spełniają wymogi art. 32 RODO?

Podsumowanie

Dobrze przygotowana umowa powierzenia przetwarzania danych to ochrona przed ryzykiem naruszeń i konsekwencjami finansowymi. W praktyce jest to fundament bezpiecznej współpracy z podmiotami zewnętrznymi, który wymaga zarówno precyzyjnych zapisów, jak i regularnej weryfikacji ich przestrzegania.

Jeśli chcesz mieć pewność, że Twoje umowy powierzenia są zgodne z RODO, właściwie zabezpieczają interesy Twojej organizacji i minimalizują ryzyko odpowiedzialności, skorzystaj z pomocy Ratio – Go. Oferujemy audyt, przygotowanie i aktualizację dokumentów zgodnie z najnowszymi wymogami prawa oraz praktyką organu nadzorczego.

Michał Myśliwy

Michał Myśliwy

Prawnik

Prawnik i praktyk w obszarze ochrony danych osobowych oraz compliance. Od momentu wejścia w życie RODO aktywnie pełni funkcję Inspektora Ochrony Danych w spółkach akcyjnych i spółkach z ograniczoną odpowiedzialnością. Specjalizuje się w projektowaniu i wdrażaniu rozwiązań z zakresu ochrony danych i compliance, opartych na realnych procesach biznesowych, ryzykach oraz odpowiedzialności zarządczej.

Sprawdź naszą ofertę!

Wdrożenie RODO
Dokumentacja
Audyt RODO
Szkolenia RODO
Szkolenia RODO
Outsourcing IOD
Doradztwo RODO
Ostatnie wpisy

Masz pytanie?

O nas

Uważamy, że odpowiednio wdrożone RODO, może posłużyć jako narzędzie wpływające korzystnie na rozwój, postrzeganie oraz reputację firmy. Naszym celem jest zapewnienie prawidłowego przetwarzania, obiegu, archiwizowania oraz dostępu do danych zgodnie z aktualnymi wymogami.

Facebook-f Instagram Linkedin
Udostępnij ten post
Facebook
LinkedIn
Czytaj dalej
Facebook Instagram Linkedin
Facebook-f Instagram Linkedin