Umowa o powierzenie przetwarzania danych osobowych

Pan Nowak chciałby przygotować kampanię promocyjną dla swojego sklepu internetowego. W tym celu udał się do znanej agencji marketingowej. Dowiedział się, że będzie musiał zawrzeć z nią umowę o powierzenie przetwarzania danych osobowych. Niestety nie wyjaśniono mu czym jest i na czym polega ta umowa. Dlatego my postaramy się wyjaśnić podstawowe zagadnienia związane z tą umową. Na wstępie należy dodać, że umowa o powierzenie przetwarzania danych osobowych nie dotyczy tylko usług marketingowych, jak się później okaże, zawiera się nią m.in. także w w przypadku korzystania z usług hostingu, czy biura księgowego.

Kto przetwarza dane osobowe

Trzeba zauważyć, że zgodnie z przepisami administrator danych osobowych może albo samodzielnie przetwarzać te dane albo powierzyć tę czynność innemu podmiotowi.

Możliwość ta została przewidziana w art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 1997 nr 133 poz. 883)[1]. Ustawodawca bowiem umożliwił administratorowi danych powierzenie przetwarzania danych osobowych innemu podmiotowi. Zastrzegł jednak, że powierzenie to następuje na podstawie umowy zawartej na piśmie (nazwijmy ją umową o powierzenie przetwarzania danych osobowych).

Stronami tej umowy jest z jednej strony administrator danych oraz inny podmiot przetwarzający dane osobowe, który w niniejszym artykule nazywać będziemy procesorem (od angielskiego słowa process oznaczającego m.in. przetworzyć, przetwarzać).[2]

Dla jasności na początku wyjaśnijmy kilka pojęć.

Pojęcia związane z powierzeniem przetwarzania danych osobowych

Zgodnie z ustawą o ochronie danych osobowych przetwarzanie danych osobowych polega na wykonaniu jakiekolwiek operacji na danych osobowych, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie.

Należy dodać, że administratorem danych jest podmiot, m.in. organ państwowy, osoba fizyczna i osoba prawna oraz jednostki organizacyjne niebędące osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych oraz mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej, decydujący o celach i środkach przetwarzania danych osobowych.

Cechy umowy o powierzenie przetwarzania danych osobowych

Strony umowy

Jak wcześniej już wspomniano stronami umowy o powierzenie przetwarzania danych osobowych są z jednej strony administrator danych osobowych, a z drugiej podmiot przetwarzający dane osobowe – processor.

Charakter umowy

Nie wchodząc w rozważania na temat kwalifikacji prawnej tej umowy (w doktrynie zgodnie uważa się, że ustawodawca na podstawie zasady swobody umów pozostawił stronom umowy wolność zdecydowania jaka to ma być umowa oraz jaką ma ona mieć treść; zastrzegł on jednak, że musi być w niej określony zakres (rodzaj operacji) oraz cel przetwarzania danych osobowych)[3]. W związku z tym należy zgodzić się z poglądem, że można założyć, iż najczęściej będzie to umowa o świadczenie usług, do której odpowiednio stosuje się przepisy dotyczące umowy – zlecenia.[4] Być może dlatego Naczelny Sąd Administracyjny w wyroku z dnia 31 stycznia 2012 r. (I OSK 1318/11), stwierdził, że instytucja powierzenia przetwarzania danych osobowych wymaga by zlecającym był właśnie administrator danych, czyli podmiot aktualnie przetwarzający dane osobowe, a nie podmiot mający przetwarzać dane, gdyż tylko przetwarzający dane osobowe decyduje, jak tego wymaga ustawowa definicja administratora danych, o celach i środkach przetwarzania danych, a więc szeregu składających się na ten proces czynności, które mają miejsce, a nie, które zostaną przyjęte.

Wymóg zgody osoby, której dane dotyczą

Przyjmuje się, że dla skutecznego zawarcia umowy o powierzenie przetwarzania danych osobowych nie jest wymagana zgoda osoby, której dane dotyczą. Stanowisko takie wyraził również Generalny Inspektor Danych Osobowych w decyzji z dnia 27 lipca 2005 r. (GI-DEC-DS-215/05), której stwierdzono, że należy zaznaczyć, iż w świetle postanowień ustawy o ochrony danych osobowych – art. 31 ust. 1 ustawy, administrator danych nie ma obowiązku powiadamiania osoby, której dane dotyczą o powierzeniu jego danych, a co za tym idzie nie musi on uzyskiwać od takie osoby odrębnej zgody na ww. powierzenie. Dla oceny legalności procesu przetwarzania danych poprzez powierzenie istotnym jest, czy takie powierzenie odbyło się zgodnie z zakresem oraz celem określonym w zawartej, pomiędzy podmiotem powierzającym a podmiotem, który ma przetwarzać dane osobowe, umowie.

Wymóg pisemności

Wspominaliśmy także, że ustawodawca wymaga, aby umowa o powierzenie przetwarzania danych osobowych została zawarta na piśmie. Jednakże nie przewiduje on żadnych skutków w sferze prawa cywilnego za niedochowanie tej formy, np. umowa zawarta w formie ustnej, czy też nieopatrzona bezpiecznym podpisem elektronicznym weryfikowanym za pomocą ważnego kwalifikowanego certyfikatu, którego użycie powoduje zrównanie danych nim opatrzonych z dokumentem w formie pisemnej (zgodnie z ustawą z 18 września 2001 r. o podpisie elektronicznym (Dz.U. 2001 nr 130 poz. 1450 z późn. zm.) nie powoduje nieważności umowy. Dlatego zastrzeżenie formy pisemnej bez rygoru nieważności wywiera jedynie skutki w zakresie postępowania dowodowego (por. art. 74 Kodeksy Cywilnego).[5]

Podkreślić trzeba, że niedochowanie wymogu sporządzenia umowy o powierzenie przetwarzania danych osobowych na piśmie jest naruszeniem przepisów ustawy o ochronie danych osobowych i może wiązać się z sankcją – decyzją Generalnego Inspektora nakazującej przywrócenie stanu zgodnego z prawem (na podstawie art. 18 przytoczonej ustawy).[6]

Przedmiot umowy

Mogą nim być wszelkie operacje wykonywane na danych osobowych (a więc zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie). Dlatego w doktrynie zaznacza się, że w zakres tego pojęcia wchodzi hosting.[7] Warto również pamiętać o postanowieniu Sądu Najwyższego z dnia 11 grudnia 2000 roku (II KKN 438/00), w którym to SN wskazał, że również w przypadku, gdy administrator danych posługuje się innym podmiotem w celu usunięcia danych osobowych, powinien zawrzeć z nim umowę o przetwarzanie danych osobowych. W doktrynie podkreślono, że obowiązek zawarcia tej umowy powstaje również w stosunku do nośników danych osobowych (np. formularze, dyski, nośniki optyczne, kupony, zamówienia, wydruki, etc.). A także nie nie ma znaczenia prawnego, czy będą one nieuporządkowane, czy też uporządkowane w zestawy lub zbiory.[8]

Problem podwykonawców

W doktrynie dostrzega się zjawisko zlecania przez procesora zadań podwykonawcom, tzw. subprocessorom. Pomimo braku odpowiedniej regulacji w ustawie o ochronie danych osobowych, uważa się, że zjawisko subprocessoring’u będzie zgodne z przepisami, jeżeli:

w treści samej umowy powierzenia danych osobowych do przetwarzania wskazane zostaną co do tożsamości podmioty, które mogą działać jako podwykonawcy podmiotu przetwarzającego dane osobowe na zlecenie, albo
w toku wykonywania umowy powierzenia danych osobowych do przetwarzania, podmiot przetwarzający dane osobowe na zlecenie uzyska pisemną zgodę administratora danych osobowych na skorzystanie z usług wskazanego co do tożsamości podwykonawcy, albo
przetwarzanie danych osobowych przez podwykonawcę pozostaje w granicach celu i zakresu przetwarzania danych określonych w umowie powierzenia.[9]

Podsumowanie

W każdym przypadku gdy administrator danych pragnie przekazać przetwarzanie danych osobowych innemu podmiotowi zobowiązany jest zawrzeć z nim umowę o powierzenie przetwarzania danych osobowych. W celu ustrzeżenia się przed sankcją ze strony Generalnego Inspektora Ochrony Danych Osobowych umowa ta powinna zostać zawarta ma piśmie. Minimum, które powinna ona określać to rodzaje operacji na danych osobowych i cel przetwarzania danych, a także prawa i obowiązki zarówno administratora danych, jak i processora.[10]

Potrzebujesz pomocy przy umowie powierzenia przetwarzania danych osobowych? Napisz do nas na kontakt@regulaminowo.pl Nasi prawnicy czekają na Twoje pytanie.

[1] dalej zwana ustawą o ochronie danych osobowych, [2] Barta P, Litwiński P., Ustawa o ochronie danych osobowych. Komentarz, 2013, [3] Barta J., Fajgielski P., Markiewicz R., Ochrona danych osobowych. Komentarz., LEX, 2011, [4] Barta J., Fajgielski P., Markiewicz R., Ibidem, [5] Barta J., Fajgielski P., Markiewicz R., Ibidem, [6] Barta P, Litwiński P., Ibidem, [7] Barta P, Litwiński P., Ibidem, [8] Barta P, Litwiński P., Ibidem, [9] Barta P, Litwiński P., Ibidem [10] por. Wiewiórowski W. R., Umowa powierzenia, Przegląd Komunalny nr 8/2013, str. 65.

Prześlij komentarz Anuluj pisanie odpowiedzi

Sandra Mańkowska

13:14 29 May 24

Z czystym sumieniem mogę polecić tę firmę każdemu przedsiębiorcy, któremu zależy na rzetelnej dokumentacji chroniącej jego interesy :) Mając kontrolę w firmie okazało się, że regulamin oraz kwestie, na które zwrócił prawnik podczas audytu, pozwoliły mi uniknąć konsekwencji prawnych i nawet Panie z Inspekcji zwróciły uwagę, że regulamin jest bardzo dobry i rzadko w swojej pracy spotykają dokumentację na takim poziomie. Jeśli chodzi o sam kontakt i przebieg współpracy, to również muszę tutaj pochwalić. Pani Wanda jest bardzo profesjonalna i przystępna w kontakcie. Zawsze miło odpowiada na wszystkie pytania. Cena samych usług także jest na rozsądnym poziomie. :) Jeśli w przyszłości będzie potrzeba, to na pewno ponownie skorzystam z oferty.Szczerze polecam!

Daniel Reluga

10:15 18 Dec 23

Chciałbym polecić współpracę z firmą NetLibre jak również zespołem serwisu Prokonsumenki.pl.Korzystaliśmy z usług firmy dwukrotnie, najpierw przy realizacji regulaminu sklepu internetowego i przygotowaniu pakietu wszystkich niezbędnych dokumentów a później przy całym procesie rejestracji i zastrzeżeniu znaku na terenie Unii Europejskiej.Współpraca w obydwu przypadkach przebiegała znakomicie i pomimo tego, że wprowadzaliśmy pewne zmiany w umówionych wcześniej kwestiach nikt nie stwarzał problemu i cierpliwie nasze zmiany wprowadzał i służył poradą.Jesteśmy bardzo zadowoleni z usług firmy i z pewnością będziemy korzystać z nich w przyszłości.

Piotr

14:06 17 Nov 23

Z Netlibre współpracujemy od ponad roku. Korzystamy z regulaminów przygotowanych dla dwóch sklepów, szkoleń i webinarów prowadzonych przez tę firmę. Usługi na wysokim poziomie.

Jarosław Kowalczyk

18:21 02 Nov 23

Wszystko w najlepszym porządku, polecam.

Justyna Puc

18:16 01 Nov 23

Bardzo dobra współpraca i kontakt. Polecam!

Umowa o powierzenie przetwarzania danych osobowych

Kto przetwarza dane osobowe

Pojęcia związane z powierzeniem przetwarzania danych osobowych

Cechy umowy o powierzenie przetwarzania danych osobowych

Strony umowy

Charakter umowy

Wymóg zgody osoby, której dane dotyczą

Wymóg pisemności

Przedmiot umowy

Problem podwykonawców

Podsumowanie

Prześlij komentarz Anuluj pisanie odpowiedzi

Partner merytoryczny:

Szybki kontakt

Zaufali nam:

Nasi eksperci w mediach

Nasi partnerzy

Zapisz się na newsletter prawny

SUKCES - zapisałeś się!

Zapisz się na newsletter prawny

SUKCES - zapisałeś się!

Zapisz się na newsletter prawny

SUKCES - zapisałeś się!