Umowa powierzenia przetwarzania danych osobowych jest zawierana pomiędzy administratorem danych osobowych a podmiotem przetwarzającym dane w jego imieniu. Umowa ta jest zawierana przez firmy właściwie przy każdej działalności outsourcingowej, czyli działalności, gdy przedsiębiorstwo powierza operacje na danych osobowych (a dzieje się od zewnętrznej księgowości, obsługi IT po obsługę klienta) zewnętrznej firmie. Umowa powierzenia jest konieczna także przy transferach danych osobowych do krajów trzecich. Jednym słowem stanowi obiektywny dokument, który gwarantuje administratorowi danych osobowych, że powierzone przez niego dane będą podlegały stosownej ochronie danych osobowych. Co zatem zawiera taka umowa? Jakie są obowiązki administratora i podmiotu przetwarzającego (procesora)? Czy procesor może powierzać dane kolejnym podmiotom? Kto w takich sytuacjach jest prawnie odpowiedzialny za bezpieczeństwo danych osobowych?
Kluczowy dla umowy powierzenia danych osobowych jest art. 28 RODO, który mówi wprost, że w wypadku, kiedy operacja przetwarzania ma być dokonywana w imieniu administratora, to korzysta on tylko z usług podmiotów zewnętrznych, jakie zapewniają wystarczające gwarancje wdrożenia stosownych środków technicznych oraz organizacyjnych dla ochrony prywatności osób fizycznych, których dane dotyczą (art. 32 RODO). Wobec powyższego, w pierwszej kolejności administrator danych nie może powierzyć przetwarzania danych innemu podmiotowi, jeśli nie będzie miał pewności, że ów podmiot zapewni odpowiedni poziom bezpieczeństwa.
Podstawą prawną przetwarzania przez podmiot przetwarzający jest umowa lub inny instrument prawny, które podlegają prawu Unii lub prawu państwa członkowskiego. Taka umowa zawarta pomiędzy administratorem a podmiotem przetwarzającym służy określeniu przede wszystkim co dokładnie jest przetwarzane i przez jaki okres czasu, jaki jest charakter oraz cel przetwarzania, rodzaj danych osobowych, które są przetwarzane. Ponadto umowa ustala kategorię osób, których dane dotyczą oraz obowiązki administratora i podmiotu przetwarzającego.
Podmiot przetwarzający posiada kilka ważnych obowiązków względem administratora danych osobowych, lecz chyba najważniejszą zasadą, która scala właściwie wszystkie działania, jest konieczność, aby podmiot przetwarzał dane osobowe tylko i wyłącznie na udokumentowane polecenie administratora. To administrator ponosi niezmiennie odpowiedzialność za bezpieczeństwo danych osobowych powierzonych do przetwarzania, choć w tym wypadku dzieli ją również z podmiotem przetwarzającym, ta reguła zapewnia, że właściwie nic nie powinno się wydarzyć bez wiedzy i zgody administratora. Oczywiście mogą wydarzyć się tu wyjątki, jak np. przy transferze danych osobowych do państwa trzeciego lub organizacji międzynarodowej – może pojawić się obowiązek przetwarzania wobec podmiotu przetwarzającego, który zostaje narzucony odgórnie przez prawo Unii lub państwa członkowskiego, podmiot przetwarzający musi jednak wtedy poinformować o tym fakcie administratora.
Jakie pozostałe obowiązki ciążą na podmiocie przetwarzającym?
Do obowiązków administratora danych osobowych, przy zawieraniu umowy powierzania, należy:
Podmiot przetwarzający musi udostępnić administratorowi wszystkie informacje, które są niezbędne do wypełnienia obowiązków wynikających z art. 28 RODO. Ma on obowiązek poinformowania administratora, jeśli zdaniem procesora polecenie, jakie dostał jest niezgodne z RODO lub z innymi przepisami Unii lub państwa członkowskiego. Podmiot przetwarzający nie ma jednak w takiej sytuacji obowiązku zaprzestania przetwarzania danych osobowych, gdyż to administrator ponosi odpowiedzialność za legalność przetwarzania. Procesor dokonuje przetwarzania w imieniu administratora, co wprost mówi art. 28 ust. 1 RODO. Mimo to w sytuacji, gdy podmiot przetwarzający nie poinformuje administratora, że wydane mu polecenie narusza wymogi RODO, może zostać obciążony karą pieniężną (art. 83 ust. 4 lit. a RODO). Oczywista będzie również odpowiedzialność procesora, gdyby działał on wbrew poleceniom administratora lub poza instrukcjami zgodnymi z prawem (art. 82 ust. 2 RODO).
Najważniejszą ogólną uwagą, jaką powinno się na samym początku udzielić, jest stwierdzenie, że umowa powierzenia nie powinna być powieleniem przepisów RODO. Umowa powinna przede wszystkim być dostosowana do danej sytuacji przetwarzania i ma zawierać szczegółowe informacje dotyczące współpracy pomiędzy administratorem i procesorem oraz określać, w jaki sposób ten drugi powinien pomagać pierwszemu, by wypełniać wskazane w RODO obowiązki w związku z przetwarzaniem danych osobowych.
Co zatem powinna zawierać umowa powierzenia?
Każde przetwarzanie, które dokonuje podmiot przetwarzający, musi zostać uregulowane umową powierzenia. Taka umowa ma formę pisemną, w tym formę elektroniczną. W swoich Wytycznych EROD 07/2020 dotyczące pojęć administratora i podmiotu przetwarzającego zawartych w RODO (s. 35) zaleca, aby w akcie prawnym znalazły się niezbędne podpisy, zgodnie z obowiązującym prawem (np. prawem zobowiązań), w celu uniknięcia jakichkolwiek nieporozumień.
Tak jak zostało to powyżej wspomniane – administrator oraz podmiot przetwarzający mogą oprzeć się w pełni na standardowych klauzulach umownych przy tworzeniu umowy powierzenia lub zawrzeć własną umowę przy zastosowaniu wszystkich obowiązkowych elementów. W przypadku standardowych klauzul umownych, które zastępują umowę powierzenia strony powinny się oprzeć na Decyzji wykonawcza Komisji (UE) 2021/915 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi na podstawie art. 28 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 oraz art. 29 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725.
Natomiast w przypadku transferów danych osobowych do krajów trzecich konieczne jest odpowiednie zabezpieczenie takiego międzynarodowego przekazywania danych – stąd konieczne jest zastosowanie odpowiedniego mechanizmu zgodnie z art. 46 RODO, w tym w szczególności standardowych klauzul umownych na podstawie Decyzji wykonawcza Komisji (UE) 2021/914 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679). Takie klauzule będą wówczas wypełniały nie tylko wymagania dotyczące umowy powierzenia, ale także odpowiednio zabezpieczą transfer do kraju trzeciego.
W wypadku, gdy jest co najmniej dwóch administratorów (tj. współadministratorów), każdy z nich powinien zawrzeć umowę powierzenia w zakresie przetwarzania danych osobowych przypisanym im celom.
Podpowierzenie danych jest to w skrócie dalsze powierzenie, którego dokonuje subprocesor (podprocesor), a więc dalszy podmiot przetwarzający. Subprocesor w celu dalszego przetwarzania danych osobowych, za które niezmiennie odpowiedzialny jest administrator, musi posiadać jego zgodę. Jak zatem tego dokonać?
Nieco upraszczając sprawę są trzy możliwe scenariusze takich sytuacji:
W pierwszym przypadku będzie musiało do uprzedniej szczegółowej zgody administratora na korzystanie z usług tych podmiotów przez procesora. Szczegółowej, gdyż w umowie będą zawarte dane konkretnych podprocesorów. Taka zgoda może być elementem umowy lub stanowić osobny dokument.
Podobnie będzie z przypadkiem drugim, z tymże w dokumencie musi zostać wyrażona na podstawie ogólnej pisemnej zgody administratora danych. Wynika to z faktu, że tożsamości subprocesorów nie są znane jeszcze na etapie podpisywania umowy. Taka zgoda powinna mieć jednak przewidywać możliwość zgłoszenia sprzeciwu wobec takiego dalszego przetwarzania. Ewentualny sprzeciw pojawiłby się, jeśli administrator uznałby, że podprocesor nie spełnia wystarczających gwarancji ochrony danych osobowych – nie należy zapominać, że to administrator przez cały czas nosi odpowiedzialność za bezpieczeństwo danych.
W przypadku wskazanym w pkt 3 powyżej administrator również będzie zobowiązany do wyrażenia uprzedniej szczegółowej zgody na skorzystanie z usług dalszych podmiotów przetwarzających – z tą różnicą, że ta zgoda zostanie udzielona już w trakcie obowiązywania umowy, a nie w momencie jej zawarcia lub przed jej zawarciem.
Za naruszenie przepisów art. 28 RODO może zostać nałożona administracyjna kara pieniężna (art. 83 ust. 4 RODO) w wysokości do 10 mln euro, a w wypadku przedsiębiorstwa do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Taka kara może zostać nałożona na administratora np. gdy korzysta on umowy powierzenia z podmiotem przetwarzającym, który nie zapewnia stosownej ochrony danych osobowych. Taki sam skutek może przynieść sytuacja, gdy powierza się przetwarzanie danych bez podpisania umowy lub tez innego instrumentu prawnego.
Może zostać ukarany także procesor, gdy nie zawarł on umowy lub innego instrumentu prawnego z innym podmiotem przetwarzającym. Przypomnijmy, że dzieli on współodpowiedzialność z administratorem, jeśli brał on udział w określaniu celów i sposobów przetwarzania. Poza tym jeśli procesor bez wiedzy oraz zgody administratora podejmie takie działania, to będzie ponosił odpowiedzialność jak administrator w stosunku do tego przetwarzania (art. 28 ust. 10 RODO).
Należy pamiętać, że umowa powierzenia nie powinna być jedynie automatycznie podpisywanym wzorem, ale powinna zawierać realne określenie wzajemnych praw i obowiązków administratora i podmiotu przetwarzającego. W ten sposób umowa powierzenia realnie wpłynie na sposób wykonywania obowiązków przez podmiot przetwarzający i zapewni odpowiednie bezpieczeństwo przetwarzanych danych osobowych.
