Obowiązujące rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: RODO) ma celu ochronę osób fizycznych w związku z przetwarzaniem danych osobowych, która określana jest skrótowo mianem ochrony danych osobowych.
Sprawdź również nasz materiał na Youtube:
Oznacza to, że istotą regulacji powołanego rozporządzenia jest ochrona każdej osoby fizycznej przed negatywnymi konsekwencjami wynikającymi z nieprawidłowego przetwarzania danych. Dlatego też wśród szeregu przepisów RODO prawodawca przewidział m.in. konieczność zawarcia umowy powierzenia przetwarzania danych osobowych, w przypadku gdy przetwarzanie dokonywane przez podmiot przetwarzający jest w imieniu i na zlecenie administratora danych osobowych.
Czym jest zatem taka umowa i jakie są jej elementy? Odpowiedź znajdziesz w niniejszym artykule, a więcej na temat samego RODO tutaj.
Przepis art. 28 RODO reguluje zagadnienia dotyczące powierzenia przez administratora danych osobowych przetwarzania tych danych innemu podmiotowi, z kolei ustęp 3 analizowanego przepisu wprowadza dwie alternatywne podstawy powierzenia przetwarzania, które mogą się odbywać na podstawie umowy lub innego instrumentu prawnego (np. zarządzenia, uchwały).
Jednakże koncentrując się na umowie przetwarzania danych, należy podkreślić, że jest ona niczym innym jak pisemnym określeniem wytycznych w zakresie relacji zachodzących pomiędzy administratorem danych osobowych a podmiotem przetwarzającym dane.
W piśmiennictwie wskazuje się, że Umowa powierzenia przetwarzania danych osobowych dotyczy zarówno interesu prywatnego, którym jest zapewnienie gwarancji prawa do ochrony danych osobowych jako sfery prawa do prywatności, jak również interesu publicznego, jakim jest zagwarantowanie szeroko rozumianego bezpieczeństwa informacji oraz pewności obrotu.
Jak wynika z przepisu art. 28 ust 1. RODO, administrator danych osobowych może powierzyć przetwarzanie danych innemu (wybranemu) podmiotowi.
W szczególności przepis ten stanowi, iż Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
Z powyższej regulacji wynika, że powierzenie przetwarzania jest zlecane przez administratora wybranemu profesjonalnemu podmiotowi w zakresie dokonania określonych czynności przetwarzania. Działania te są podejmowane przez podmiot przetwarzający w imieniu i na rzecz administratora.
W przepisie art. 4 ust. 7 RODO wskazano m.in., że administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Zgodnie z definicją legalną zawartą w art. 4 pkt 8 RODO, takim podmiotem może być osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Zdaje się, że prawodawca miał na celu skłonienie administratora do wyboru profesjonalnego, przeszkolonego podmiotu, który nie tylko posiadać będzie odpowiednią wiedzę fachową do przetwarzania danych, ale dodatkowo będzie posiadać możliwości techniczne zapewniające odpowiedni poziom ochrony danych.
Przepisy RODO zakazują, bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora, korzystanie przez podmiot przetwarzający z usług z innego podmiotu (por. art. 28 ust. 2 RODO).
Tym samym w przypadku udzielenia przez administratora zgody szczegółowej lub ogólnej możliwe jest skorzystanie z instytucji dalszego przetwarzania danych osobowych. Niemniej kwestię tę najlepiej uwzględnić w treści samej umowy, albowiem prawodawca wymaga, aby zgoda była uprzednia, co oznacza, że powinna być udzielona przez administratora przed dokonaniem dalszego powierzenia przetwarzania.
Co ważniejsze, zgoda ta powinna być pisemna.
Szczegółowe kwestie dotyczące powierzenia przez administratora przetwarzania danych innemu podmiotowi (podmiotowi przetwarzającemu) uregulowane są w przepisie art. 28 ust. 3 RODO. Powołany przepis określa wymogi dotyczące treści umowy lub innego instrumentu prawnego stanowiącego podstawę powierzenia przetwarzania oraz określa obowiązki stron umowy, a przede wszystkim obowiązki podmiotu przetwarzającego, które powinny być zawarte w umowie lub innym instrumencie prawnym
.Treść umowy (lub instrumentu prawnego) powinna spełniać następujące warunki, koncentrujące się na określeniu:
Z kolei wśród obowiązków podmiotu przetwarzającego, które powinny być wskazane w umowie, wyróżnia się powinności w postaci:
Dla celów dowodowych umowa powierzenia przetwarzania danych osobowych powinna być zawarta w formie pisemnej, jednakże przepisy nie zabraniają zawarcia takiej umowy w formie elektronicznej.
Mając na uwadze fakt, iż powierzenie przetwarzania danych coraz częściej zachodzi w procesach gospodarczych, gdzie administratorzy nawiązują „współpracę” z wyspecjalizowanymi podmiotami, istotne staje się posiadanie szczególnej wiedzy na temat konieczności zawarcia specjalnej umowy jaką jest umowa powierzenia przetwarzania danych osobowych. Przepisy RODO określają wymogi w zakresie treści samej umowy jak i nakładają szereg obowiązków spoczywających po stronie podmiotu przetwarzającego.
Należy pamiętać, że już samo wydanie zlecenia przez administratora wykonywania swoich obowiązków związanych z przetwarzaniem danych osobowych na inny podmiot rodzi konieczność zawarcia przez obie strony takiej umowy. Brak istnienia w obrocie prawnym takiego dokumentu bądź uchybienie jego warunkom może skutkować nałożeniem kary pieniężnej za naruszenie przepisów RODO.
Zachęcamy do komentowania naszych artykułów. Wyraź swoje zdanie i włącz się w dyskusje z innymi czytelnikami. Na indywidualne pytania (z zakresu podatków i księgowości) użytkowników ifirma.pl odpowiadamy przez e-mail, czat lub telefon – skontaktuj się z nami.
Administratorem Twoich danych osobowych jest IFIRMA S.A. z siedzibą we Wrocławiu. Dodając komentarz na blogu, przekazujesz nam swoje dane: imię i nazwisko, adres e-mail oraz treść komentarza. W systemie odnotowywany jest także adres IP, z wykorzystaniem którego dodałeś komentarz. Dane zostają zapisane w bazie systemu WordPress. Twoje dane są przetwarzane na podstawie Twojej zgody, wynikającej z dodania komentarza. Dane są przetwarzane w celu opublikowania komentarza na blogu, jak również w celu obrony lub dochodzenia roszczeń. Dane w bazie systemu WordPress są w niej przechowywane przez okres funkcjonowania bloga. O szczegółach przetwarzania danych przez IFIRMA S.A dowiesz się ze strony polityki prywatności serwisu ifirma.pl.
Z Biurem Rachunkowym i aplikacją IFIRMA masz wszystko pod kontrolą i w jednym narzędziu!