Ochrona danych osobowych nie polega wyłącznie na tym, aby informacje o klientach nie wyciekły do szerokiego grona odbiorców. Dane te należy chronić również w kontaktach z podmiotami „zaufanymi”. Przedsiębiorca będący administratorem jest zobligowany przeszkolić swoich pracowników z obowiązków wynikających z RODO oraz przekazać im odpowiednie upoważnienia, na podstawie których ci będą mogli legalnie działać na danych osobowych klientów firmy. Nie inaczej jest ze współpracownikami – przedsiębiorca, chcąc przekazywać informacje o osobach fizycznych magazynowanych u siebie w firmie podmiotom trzecim, takim jak biuro rachunkowe, musi zawrzeć z nimi odpowiednie porozumienie. Umowa powierzenia przetwarzania danych osobowych, bo o nią chodzi, jest nieodzownym elementem współpracy z podmiotami spoza firmy. Należy o tym pamiętać, bowiem kary finansowe za nieprzestrzeganie przepisów RODO są naprawdę dotkliwe.
Powierzenie przetwarzania danych osobowych a RODO
Jeśli administrator danych zleca innemu podmiotowi dokonanie określonych operacji na danych osobowych, mamy wówczas do czynienia z powierzeniem przetwarzania danych osobowych. Jak wskazuje art. 28 RODO, w każdym takim wypadku administrator oraz podmiot trzeci mają obowiązek zawrzeć umowę o powierzenie przetwarzania danych osobowych. Dodatkowo przepis ten wskazuje na listę zapisów, które powinna posiadać taka umowa.
Unijny ustawodawca nałożył na administratorów danych obowiązek, zgodnie z którym przed powierzeniem danych osobowych innemu podmiotowi muszą oni dokonać jego dokładnej kontroli. Wynika to chociażby z faktu, że w przypadku wycieku danych osobowych z winy podmiotu przetwarzającego administrator będzie odpowiadał za to zdarzenie na równi z przetwarzającym dane.
Jednocześnie RODO daje administratorowi uprawnienie do przeprowadzania kontroli podmiotu przetwarzającego w zakresie zgodności jego działalności z umową oraz z RODO. W praktyce administrator przed zawarciem umowy powinien przekazać takiemu podmiotowi specjalny kwestionariusz z pytaniami dotyczącymi kwestii stosowania odpowiednich środków technicznych i organizacyjnych zapewniających zgodność jego działań z przepisami rozporządzenia.
Oprócz powyższego administrator może przeprowadzić audyt w siedzibie podmiotu przetwarzającego. Nie jest jednak określone, czy powinno to nastąpić przed podpisaniem umowy o przekazanie danych, czy już w jej trakcie. Wydaje się zatem, że zależy to od decyzji administratora i konkretnych okoliczności sprawy.
Umowa powierzenia przetwarzania danych osobowych – obowiązek jej zawarcia
Rozporządzenie w swojej preambule w motywie 81 podkreśla, że administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów, które zapewniają wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom RODO, w tym wymogom bezpieczeństwa przetwarzania.
Dodatkowo przetwarzanie danych przez podmiot przetwarzający powinno być regulowane umową lub innym instrumentem prawnym, które wiążą podmiot przetwarzający z administratorem, określają przedmiot i czas trwania przetwarzania, charakter i cele przetwarzania, rodzaj danych osobowych i kategorie osób, których dane dotyczą, oraz które powinny uwzględniać konkretne zadania i obowiązki podmiotu przetwarzającego w kontekście planowanego przetwarzania oraz ryzyko naruszenia praw lub wolności osoby, której dane dotyczą.
Obligatoryjne elementy umowy
RODO wskazuje, że administrator i podmiot przetwarzający mogą skorzystać z umowy indywidualnej lub ze standardowych klauzul umownych przyjętych lub zaakceptowanych przez Komisję Europejską.
Jeżeli strony zdecydują się na zawarcie oddzielnej umowy, muszą pamiętać o jej elementach, bez których będzie ona nieważna. Umowa ta powinna zawierać takie elementy, jak:
- datę i miejsce zawarcia umowy;
- dane administratora oraz podmiotu przetwarzającego;
- przedmiot przetwarzania – należy wskazać tutaj konkretne zbiory danych, jakie zostaną powierzone, np. imiona, nazwiska, adresy do korespondencji, numery telefonów, adresy e-mail itd.;
- czas trwania umowy;
- cel przekazania danych osobowych podmiotowi przetwarzającemu – w przypadku biur rachunkowych będzie to przede wszystkim prowadzenie ksiąg rachunkowych;
- kategorię osób, których dane dotyczą – zbiór danych może odnosić się do m.in. pracowników, klientów, kontrahentów;
- rodzaj powierzonych danych osobowych – czy chodzi o dane zwykłe, czy wrażliwe;
- obowiązki i prawa administratora;
- obowiązki podmiotu przetwarzającego;
- podpisy stron.
Wzór zapisów umownych dotyczących celu przetwarzania i obowiązków stron
Określenie stron umowy, czasu jej trwania czy też rodzaju powierzonych danych nie powinno stanowić większego problemu. Trudności mogą pojawić się jednak wraz z zakresem i celem powierzenia danych oraz obowiązkami stron umowy. W związku z tym poniżej przedstawiamy wzór owych klauzul.
§ 1 Zakres i cel przetwarzania danych
- Podmiot przetwarzający będzie przetwarzał powierzone mu przez Administratora dane osobowe zwykłe oraz / lub dane osobowe szczególnych kategorii, dotyczące pracowników, współpracowników, klientów oraz kontrahentów Administratora w zakresie poniższych informacji:
- imię;
- nazwisko;
- płeć;
- nazwisko rodowe;
- data urodzenia;
- obywatelstwo;
- PESEL;
- adres zameldowania / zamieszkania / korespondencyjny;
- NIP;
- numer rachunku bankowego.
- Dane osobowe powierzone przez Administratora będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu wykonania umowy o usługowe prowadzenie ksiąg rachunkowych i obsługi kadrowo-płacowej zawartej między Stronami 1 grudnia 2022 roku.
- Podmiot przetwarzający został upoważniony do wykonywania czynności przetwarzania powierzonych danych takich jak
- wykorzystywanie;
- utrwalanie;
- przeglądanie;
- organizowanie;
- porządkowanie;
- przechowywanie;
- modyfikowanie.
- Czynności wskazane w ust. 3 są niezbędne do realizacji celu, o którym mowa w ust. 2 Umowy.
§ 2 Prawo Administratora danych do kontroli
- Administrator ma prawo kontroli mającej na celu weryfikację, czy Podmiot przetwarzający spełnia obowiązki wynikające z Umowy oraz przepisów RODO, w szczególności przepisu art. 28.
- Administrator danych będzie realizować prawo kontroli w godzinach pracy Podmiotu przetwarzającego i z co najmniej 3-dniowym uprzedzeniem.
- Prawo do przeprowadzenia kontroli obejmuje między innymi:
- wstęp do pomieszczeń, w których znajdują się sprzęty i narzędzia wykorzystywane do przetwarzania powierzonych danych osobowych;
- prawo do żądania złożenia pisemnych wyjaśnień od Podmiotu przetwarzającego;
- wgląd do dokumentacji i danych mających bezpośredni związek z celem kontroli;
- przeprowadzanie oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania powierzonych danych.
- W przypadku stwierdzenia uchybień Podmiot przetwarzający zobowiązuje się do ich usunięcia w terminie nie dłuższym niż 7 dni.
§ 3 Obowiązki Podmiotu przetwarzającego
- Podmiot przetwarzający przy przetwarzaniu powierzonych mu danych osobowych zobowiązuje się do ich zabezpieczenia przez stosowanie odpowiednich środków technicznych i organizacyjnych, odpowiadających stanowi wiedzy technicznej oraz ryzyku związanemu z przetwarzaniem danych osobowych.
- Szczegółowe środki techniczne zapewniające bezpieczeństwo danych osobowych zostały określone w art. 32 RODO.
- Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
- Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim pracownikom i współpracownikom, którzy będą uczestniczyli przy przetwarzaniu powierzonych mu danych osobowych.
- Podmiot przetwarzający zobowiązuje się zadbać, aby osoby uczestniczące w przetwarzaniu danych były odpowiednio przeszkolenie z zakresu ochrony danych osobowych.
- Dla zachowania odpowiedniej ochrony danych Podmiot przetwarzający będzie dokonywał okresowej weryfikacji listy osób, którym udzielono dostępu do danych przetwarzanych w imieniu Administratora.
- Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem niezwłocznie usunie lub zwróci Administratorowi wszelkie przekazane dane osobowe – w zależności od decyzji Administratora, oraz usunie wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
- Podmiot przetwarzający w przypadku wpłynięcia do niego żądania osób fizycznych, których dane osobowe są przetwarzane, w zakresie realizacji ich praw wynikających z przepisów RODO, ma obowiązek poinformować o tym fakcie Administratora w terminie 3 dni od otrzymania wiadomości.
- Udzielając informacji z ust. 8, Podmiot przetwarzający przekaże dane nadawcy i treść żądania oraz określi, w jakim zakresie jest w stanie przyczynić się do realizacji żądania.
§ 4 Dalsze powierzenie danych do przetwarzania
- Podmiot przetwarzający może powierzyć dane osobowe objęte niniejszą Umową do dalszego przetwarzania podwykonawcom w celu wykonania niniejszej Umowy dopiero po uzyskaniu pisemnej zgody Administratora danych.
- Podwykonawcy Podmiotu przetwarzającego muszą spełniać te same gwarancje i obowiązki, jakie zostały nałożone na Podmiot przetwarzający niniejszą Umową.
- Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie za pisemną zgodą Administratora, chyba że taki obowiązek nakłada na Podmiot przetwarzający prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający ma obowiązek poinformować Administratora o tym fakcie.
- Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się z obowiązków spoczywających na podwykonawcy, wynikających z niniejszej Umowy.