Umowa powierzenia przetwarzania danych osobowych – o co w tym chodzi?

Dla wielu osób kwestia RODO w dalszym ciągu pozostaje zagadką. Klienci często głowią się nad tym, z kim tak naprawdę powinni podpisywać takie umowy i rozważają jakie ryzyko niesie za sobą pominięcie umowy lub, co równie ważne, zawarcie jej, gdy nie ma takiej rzeczywistej potrzeby.

Zacznijmy od początku. Wchodząc w jakiekolwiek interakcje biznesowe zawsze należy zastanowić się, kto pełni jaką rolę w procesie posługiwania się danymi osobowymi. Dla przykładu: firma X nawiązała współpracę z zewnętrznym biurem rachunkowym. W tym celu podpisali już stosowną umowę. Jednak co zrobić z danymi osobowymi, które niewątpliwie będą migrowały między tymi dwoma podmiotami? I to dane podlegające szczególnej ochronie, czyli dane finansowe.

Właśnie w takich przypadkach zawiera się umowę powierzenia przetwarzania danych. Firma X będzie administratorem, który powierza dane biurowi rachunkowemu. Biuro stanie się w ten sposób podmiotem przetwarzającym. Bardzo ważne w tej relacji biznesowej jest to, że biuro rachunkowe będzie działało na rzecz Firmy X. Nie ma w zakresie swojej pracy swobody twórczej, nie może przetwarzać otrzymanych danych w innym zakresie niż ten zawarty w umowie. Właśnie te elementy decydują o konieczności zawarcia umowy powierzenia przetwarzania danych. Nie będzie to forma swoistego przekazania danych między podmiotami w ramach współpracy, które następnie przetwarzają je we własnym zakresie. W takim przypadku nie powstałaby potrzeba zawierania umowy powierzenia, natomiast trzeba byłoby uregulować zasady przetwarzania danych między dwoma administratorami.

Co w szczególności powinna zawierać umowa powierzenia przetwarzania danych osobowych?

• przedmiot i cel przetwarzania – najczęściej przedmiot odpowiada podstawowej umowie zawartej między stronami, czyli tej, która reguluje zasady współpracy,

• podstawę prawną przetwarzania – może być to zgoda, uzasadniony interes prawny, umowa pomiędzy stronami, ochrona żywotnych interesów, itp.,

• czas trwania przetwarzania danych – najczęściej do czasu zakończenia współpracy między podmiotami,

• rodzaj danych osobowych, które będą przetwarzane – dane finansowe, dane podstawowe, dane biometryczne, dane medyczne itp.,

• prawa i obowiązki stron – prawo kontroli, obowiązek informowania o naruszeniach, obowiązek współpracy,

• kategorie osób, których te dane dotyczą – np. kontrahenci, klienci, pracownicy,

• jak należy postąpić ze zgromadzonymi danymi po zakończeniu współpracy – najczęściej będzie to zwrot danych administratorowi albo usunięcie danych ze wszystkich serwerów.

Patrycja Krótka

prawnik