Powierzenie przetwarzania danych osobowych
Powierzenie przetwarzania danych osobowych to w sporym uogólnieniu, zlecenie innemu podmiotowi przetwarzania danych osobowych w imieniu Powierzającego. W dobie obecnie występującego na rynku szeroko rozumianego outsourcingu, zaryzykować można stwierdzenie, że praktycznie każdy Przedsiębiorca (m.in. Osoba fizyczna prowadząca jednoosobową działalność gospodarcza, Sp. z o. o., czy też Spółka Akcyjna) powierza przetwarzanie danych osobowych. Istnienie wyspecjalizowanych podmiotów świadczących wyłącznie ściśle określone usługi, pozwala zapewnić ich wysoką jakość, wygodne oraz przede wszystkim niższe koszty. Należy jednak zwrócić szczególną uwagę na aspekt przetwarzania, w tym transferu danych osobowych.
Aby lepiej zrozumieć istotę powierzenia przetwarzania danych osobowych, warto posłużyć się praktycznym przykładem.
Przykład ogólny
Zamawiająca Spółka A, zawiera z Wykonawcą Spółką B, Umowę o świadczenie usług X. Realizacja Umowy wiąże się z przetwarzaniem przez Wykonawcę danych osobowych w imieniu Zamawiającego. W roli Powierzającego występuje Zamawiająca Spółka A, będąca przykładowo jednocześnie Administratorem Danych Osobowych, w rozumieniu art. 4 pkt 7) RODO. W takim stanie rzeczy Podmiotem przetwarzającym, zwanym również Procesorem, będzie Wykonawca Umowy. Powinien on przetwarzać powierzone dane osobowe wyłącznie w imieniu Powierzającego Zamawiającego i zgodnie z jego poleceniem.
Przykład konkretnej umowy
Przekładając powyższe na konkretny przypadek, Umową o świadczenie usług X, może być zlecenie prowadzenia obsługi kadrowej. Wykonawca realizując Umowę o świadczenie obsługi kadrowej, przetwarza „otrzymane” – tj. powierzone, dane osobowe pracowników Zamawiającego, w jego imieniu i w celu, w związku z realizacją zawartej Umowy.
Inne powszechnie występujące w praktyce przykłady współpracy, które wiązać się mogą z powierzeniem przetwarzania danych osobowych to między innymi: Obsługa księgowości, Obsługa administracyjna, Obsługa monitoringu wizyjnego, Obsługa informatyczna (IT), Hosting, itd.
Kiedy należy zawrzeć umowę powierzenia przetwarzania danych osobowych?
Zawsze gdy dochodzi do powierzenia przetwarzania danych osobowych. Inaczej mówiąc, w każdym przypadku gdy Zamawiający podmiot „przekazuje” (powierza) dane osobowe, w taki sposób, że dane te przetwarzane są w imieniu Zamawiającego.
Wymóg prawny uregulowania powierzenia przetwarzania danych osobowych wynika z art. 28 ust. 3 RODO, który w zdaniu pierwszym stanowi iż Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określając przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorię osób, których dane dotyczą, obowiązki i prawa administratora.
WAŻNE: Umowy powierzenia nie zawieramy z zatrudnionym przez nas Pracownikiem, w związku z realizacją przez niego swoich służbowych obowiązków i przetwarzania danych osobowych!
Sankcja z niezawarcie prawnie wymaganej umowy powierzenia?
Prawodawca Unijny w artykule 83 ust. 4 lit. a) RODO przewidział administracyjną karę pieniężną w wysokości do 10 000 000 EUR. Przepis ten stanowi iż: Naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa: a) obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 -39 oraz 42 i 43;
Podsumowanie
Niejednokrotnie powierzenie przetwarzania danych osobowych i tym samym umowa powierzenia, stanowi tzw. wartość dodaną. Występuje mimo braku naszego bezpośredniego zamiaru powierzenia danych i stanowi składową umowy współpracy, na tle której rzeczywiście powierzamy dane osobowe. Co istotne, aby móc prawidłowo ocenić czy w konkretnym stanie faktycznym dochodzi do powierzenia przetwarzania danych osobowych, należy każdy przypadek analizować indywidualnie, zgodnie z istotą i rzeczywistym sposobem realizacji współpracy. To czy będziemy mieć do czynienia z powierzeniem przetwarzania danych osobowych wynika z okoliczności faktycznych.
Umowa powierzenia, jak każda inna umowa, jest umową Stron. Bardzo ważnym jest dokonanie stosownej analizy przed jej podpisaniem. Po pierwsze, umowa powierzenia może nie zawierać wszelkich prawnie wymaganych elementów (postanowień). Po drugie, jak każda umowa, na gruncie swobody kontraktacji o której mowa w art. 353 ze zn. 1 Kodeksu Cywilnego, może przewidywać dalej idące zobowiązania, niżeli te których wymaga RODO. Co to oznacza? W jednym przypadku te dodatkowe obowiązki mogą być dla nas kluczowe pod kątem późniejszej egzekwowalności przysługujących nam z Umowy uprawnień. W innym zaś, mogą być dla nas wysoce obciążające zarówno pod kątem technicznym, organizacyjnym, jak i finansowym.
Jeśli potrzebujecie Państwo wsparcia, nie wiecie, bądź nie macie pewności czy w konkretnym przypadku powinni Państwo zawrzeć umowę powierzenia. Zachęcamy do nawiązania kontaktu i współpracy z nami.
Opracował: Zespół Lasota Consulting Sp. z o.o.
Uważasz że materiał jest godny polecenia? Kliknij poniżej i udostępnij go!