+48 692 004 515

  kancelaria@maniszewska.pl

Menu
umowa powierzenia przetwarzania

Umowa powierzenia przetwarzania danych osobowych — kompletny przewodnik po art. 28 RODO

Każda firma, która korzysta z usług zewnętrznych dostawców przetwarzających dane osobowe w jej imieniu — biura rachunkowego, firmy hostingowej, dostawcy systemu CRM, agencji marketingowej, firmy IT, dostawcy chmury — ma obowiązek zawarcia z takim podmiotem umowy powierzenia przetwarzania danych osobowych. Obowiązek ten wynika z art. 28 RODO i dotyczy każdego administratora danych, niezależnie od wielkości organizacji.

Brak umowy powierzenia to jedno z najczęściej stwierdzanych naruszeń podczas kontroli UODO — i jedno z najłatwiejszych do uniknięcia. W tym artykule wyjaśniam, czym jest umowa powierzenia, kiedy jest wymagana, co musi zawierać i jakich błędów unikać.

Czym jest powierzenie przetwarzania danych?

Powierzenie przetwarzania to sytuacja, w której administrator danych (podmiot, który ustala cele i sposoby przetwarzania) zleca przetwarzanie danych osobowych innemu podmiotowi — podmiotowi przetwarzającemu (procesorowi), który działa w imieniu administratora i na jego polecenie.

Kluczowe rozróżnienie: procesor nie decyduje o celach przetwarzania — realizuje je na zlecenie administratora. Jeśli podmiot sam decyduje o celach przetwarzania, nie jest procesorem, lecz odrębnym administratorem (lub współadministratorem).

Typowe przykłady powierzenia:

Biuro rachunkowe prowadzące księgowość firmy — przetwarza dane pracowników i kontrahentów na zlecenie pracodawcy (administratora).

Firma hostingowa przechowująca dane na serwerze — przetwarza dane poprzez ich przechowywanie na zlecenie właściciela strony.

Dostawca systemu CRM w chmurze (np. Salesforce, HubSpot) — przetwarza dane klientów na zlecenie firmy korzystającej z systemu.

Agencja marketingowa realizująca kampanię e-mailową — przetwarza adresy e-mail klientów na zlecenie firmy zlecającej kampanię.

Firma IT świadcząca usługi wsparcia technicznego — może mieć dostęp do danych osobowych w systemach klienta.

Zewnętrzny IOD — przetwarza dane w imieniu administratora w ramach pełnienia funkcji Inspektora Ochrony Danych.

Typowe sytuacje, które NIE są powierzeniem:

Udostępnienie danych innemu administratorowi — np. przekazanie danych pracownika do ZUS (ZUS jest odrębnym administratorem, nie procesorem).

Korzystanie z usług pocztowych — operator pocztowy przetwarza dane jako odrębny administrator na podstawie Prawa pocztowego.

Dostęp do danych przez organy publiczne — np. udostępnienie danych na żądanie policji, sądu, UODO.

Co musi zawierać umowa powierzenia — art. 28 ust. 3 RODO

Art. 28 ust. 3 RODO szczegółowo określa obowiązkowe elementy umowy powierzenia. Brak któregokolwiek z nich oznacza, że umowa jest niekompletna i może nie spełniać wymogów RODO.

1. Przedmiot i czas trwania przetwarzania Opis, czego dotyczy powierzenie i jak długo będzie trwało. Przykład: „Procesor przetwarza dane osobowe klientów Administratora w celu świadczenia usług hostingowych przez okres obowiązywania umowy głównej.”

2. Charakter i cel przetwarzania Dlaczego dane są przetwarzane i w jaki sposób. Przykład: „Przetwarzanie polega na przechowywaniu, tworzeniu kopii zapasowych i udostępnianiu danych osobowych w ramach usługi hostingowej.”

3. Rodzaj danych osobowych Jakie kategorie danych są objęte powierzeniem. Przykład: „Imię, nazwisko, adres e-mail, numer telefonu, adres IP klientów Administratora.”

4. Kategorie osób, których dane dotyczą Czyje dane są przetwarzane. Przykład: „Klienci, użytkownicy strony internetowej, pracownicy Administratora.”

5. Obowiązki i prawa administratora Uprawnienia administratora wobec procesora — w tym prawo do wydawania instrukcji, kontroli, audytu.

6. Obowiązki procesora — katalog z art. 28 ust. 3 lit. a–h RODO:

a) Przetwarzanie wyłącznie na udokumentowane polecenie administratora — procesor nie może przetwarzać danych w celach własnych ani wykraczać poza instrukcje administratora. Jedyny wyjątek: obowiązek wynikający z prawa UE lub państwa członkowskiego — ale procesor musi o tym poinformować administratora przed rozpoczęciem przetwarzania.

b) Zapewnienie poufności — osoby upoważnione do przetwarzania danych (pracownicy procesora) muszą zobowiązać się do zachowania tajemnicy lub podlegać ustawowemu obowiązkowi poufności.

c) Wdrożenie odpowiednich środków technicznych i organizacyjnych — procesor musi zapewnić bezpieczeństwo danych zgodnie z art. 32 RODO (szyfrowanie, pseudonimizacja, kontrola dostępu, kopie zapasowe, testy bezpieczeństwa).

d) Warunki korzystania z podprocesorów (sub-processors) — procesor nie może zaangażować innego procesora (podprocesora) bez uprzedniej zgody administratora. RODO przewiduje dwa modele zgody:

  • Szczegółowa zgoda — administrator wyraża zgodę na każdego konkretnego podprocesora.
  • Ogólna zgoda — administrator wyraża ogólną zgodę na korzystanie z podprocesorów, ale procesor musi informować o każdej zmianie (dodanie lub zastąpienie podprocesora), dając administratorowi możliwość wyrażenia sprzeciwu. W praktyce duzi dostawcy chmurowi (Google, Microsoft, AWS) stosują model ogólnej zgody z listą podprocesorów publikowaną na stronie internetowej.

e) Pomoc administratorowi w realizacji praw osób — procesor musi pomagać administratorowi w odpowiadaniu na żądania osób (dostęp, usunięcie, sprostowanie itp.), uwzględniając charakter przetwarzania.

f) Pomoc w wypełnianiu obowiązków z art. 32–36 RODO — procesor wspiera administratora w zapewnieniu bezpieczeństwa danych, zgłaszaniu naruszeń, przeprowadzaniu DPIA i konsultacjach z UODO. 

g) Usunięcie lub zwrot danych po zakończeniu przetwarzania — po zakończeniu umowy procesor musi usunąć lub zwrócić wszystkie dane osobowe oraz usunąć istniejące kopie, chyba że prawo UE lub państwa członkowskiego wymaga dalszego przechowywania.

h) Udostępnienie informacji i umożliwienie audytów — procesor musi udostępnić administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków z art. 28 oraz umożliwić i przyczyniać się do audytów i inspekcji prowadzonych przez administratora lub upoważnionego audytora.

Forma umowy powierzenia

Art. 28 ust. 9 RODO wymaga, aby umowa powierzenia miała formę pisemną, w tym formę elektroniczną. W praktyce może to być:

Odrębna umowa powierzenia przetwarzania danych — najczęściej stosowane rozwiązanie, szczególnie w relacjach z lokalnymi dostawcami.

Załącznik do umowy głównej (np. umowy o świadczenie usług) — popularne w relacjach z dostawcami IT.

Data Processing Agreement (DPA) / Data Processing Addendum — standard w relacjach z międzynarodowymi dostawcami chmurowymi. Google, Microsoft, AWS, Salesforce udostępniają swoje DPA online jako część regulaminu usług.

Klauzule w umowie głównej — dopuszczalne, o ile zawierają wszystkie wymagane elementy z art. 28 ust. 3.

Podprocesorzy — łańcuch powierzenia

W praktyce większość procesorów korzysta z podprocesorów — np. dostawca systemu CRM w chmurze korzysta z usług hostingowych innego podmiotu (Amazon AWS, Google Cloud), który z kolei może korzystać z podwykonawców.

Obowiązki procesora wobec podprocesorów:

Procesor musi nałożyć na podprocesora te same obowiązki ochrony danych, które wynikają z umowy z administratorem (art. 28 ust. 4 RODO).

Jeśli podprocesor nie wywiąże się ze swoich obowiązków, procesor ponosi pełną odpowiedzialność wobec administratora za wykonanie obowiązków podprocesora.

Co powinien zrobić administrator:

Sprawdź, czy Twoja umowa powierzenia reguluje kwestię podprocesorów (model szczegółowej lub ogólnej zgody).

Zażądaj od procesora listy podprocesorów — wielu dostawców publikuje ją na stronie internetowej.

Oceń, czy podprocesorzy zapewniają odpowiedni poziom ochrony — szczególnie jeśli podprocesorzy są w państwach trzecich (poza EOG).

Ustal procedurę sprzeciwu — co się dzieje, jeśli nie akceptujesz nowego podprocesora?

Odpowiedzialność administratora i procesora

RODO rozdziela odpowiedzialność między administratora i procesora:

Administrator odpowiada za zgodność przetwarzania z RODO — w tym za wybór procesora, który zapewnia wystarczające gwarancje (art. 28 ust. 1 RODO). Administrator musi dołożyć należytej staranności przy wyborze procesora (due diligence).

Procesor odpowiada za przetwarzanie zgodne z umową powierzenia i instrukcjami administratora. Jeśli procesor wykracza poza instrukcje i sam ustala cele przetwarzania, staje się administratorem w zakresie tego przetwarzania — i ponosi pełną odpowiedzialność.

Odpowiedzialność finansowa — art. 82 RODO przewiduje, że zarówno administrator, jak i procesor mogą ponosić odpowiedzialność odszkodowawczą wobec osób, których dane dotyczą. Procesor odpowiada, jeśli nie dopełnił obowiązków nałożonych na niego przez RODO lub działał poza instrukcjami administratora.

Weryfikacja procesora — due diligence

Art. 28 ust. 1 RODO wymaga, aby administrator korzystał wyłącznie z usług procesorów, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. W praktyce oznacza to konieczność weryfikacji procesora przed zawarciem umowy i w trakcie współpracy.

Na co zwrócić uwagę przy weryfikacji:

Polityki bezpieczeństwa — czy procesor posiada udokumentowane polityki ochrony danych i bezpieczeństwa informacji?

Certyfikaty — czy procesor posiada certyfikację ISO 27001, ISO 27701 lub inne certyfikaty potwierdzające bezpieczeństwo? Jak ISO 27001 wspiera bezpieczeństwo danych opisujemy w artykule o ISO 27001 i ISO 27701.

Środki techniczne — szyfrowanie, kontrola dostępu, kopie zapasowe, monitoring bezpieczeństwa.

Doświadczenie w obsłudze naruszeń — czy procesor ma procedurę reagowania na incydenty?

Lokalizacja danych — gdzie fizycznie przechowywane są dane? Czy w EOG, czy poza? Więcej o mechanizmach transferu danych przeczytasz w naszym przewodniku.

Podprocesorzy — kim są i gdzie się znajdują?

Referencje i opinie — czy procesor ma doświadczenie w branży?

Najczęstsze błędy w umowach powierzenia

Brak umowy — najpoważniejszy błąd. Organizacja korzysta z usług procesora bez formalnej umowy powierzenia. UODO nakładał kary za ten brak.

Wzór z internetu bez dostosowania — kopiowanie szablonu umowy bez dostosowania do konkretnej relacji, zakresu danych i celów przetwarzania. Umowa musi odzwierciedlać rzeczywistą sytuację.

Brak regulacji podprocesorów — umowa nie przewiduje zasad korzystania z podprocesorów lub nie określa modelu zgody.

Brak prawa do audytu — umowa nie zapewnia administratorowi prawa do kontroli procesora. Art. 28 ust. 3 lit. h RODO wprost wymaga tego prawa.

Niejasne zasady usuwania danych — umowa nie określa, co dzieje się z danymi po zakończeniu współpracy (usunięcie vs. zwrot, terminy, potwierdzenie usunięcia).

Brak procedury naruszeń — umowa nie reguluje obowiązku procesora do informowania administratora o naruszeniach ochrony danych. Art. 33 ust. 2 RODO wymaga, aby procesor powiadomił administratora bez zbędnej zwłoki. Procedurę zgłaszania naruszeń opisujemy w osobnym artykule.

Jednostronne narzucenie warunków — duzi dostawcy chmurowi (Google, Microsoft) narzucają swoje DPA, które nie zawsze w pełni odpowiadają potrzebom administratora. Warto zweryfikować te dokumenty i — w miarę możliwości — negocjować modyfikacje.

Brak aktualizacji — umowa zawarta w 2018 r. i od tego czasu nieaktualizowana, mimo zmiany zakresu przetwarzania, dodania nowych usług czy zmiany podprocesorów.

Umowa powierzenia a dostawcy chmurowi — praktyczne wskazówki

Większość organizacji korzysta z usług chmurowych, gdzie umowa powierzenia ma formę standardowego DPA/DPA Addendum. Praktyczne wskazówki:

Google — DPA jest częścią regulaminu usług Google Workspace i Google Cloud. Zawiera SCC dla transferów poza EOG. Lista podprocesorów dostępna na stronie Google.

Microsoft — DPA (Data Protection Addendum) jest częścią umów licencyjnych. Microsoft oferuje EU Data Boundary. Lista podprocesorów dostępna na stronie Microsoft.

Amazon AWS — DPA jest częścią AWS Service Terms. AWS oferuje wybór regionu przechowywania danych. Lista podprocesorów dostępna na stronie AWS.

Dla mniejszych dostawców — jeśli dostawca nie ma gotowego DPA, administrator powinien przygotować umowę powierzenia i przedstawić ją dostawcy do podpisu. Brak umowy nie jest opcją.

Checklist — umowa powierzenia przetwarzania danych

  1. Zidentyfikuj wszystkich procesorów — z kim udostępniasz dane osobowe w ramach outsourcingu?
  2. Sprawdź, czy z każdym procesorem masz podpisaną umowę powierzenia.
  3. Zweryfikuj kompletność umów — czy zawierają wszystkie elementy z art. 28 ust. 3 RODO.
  4. Sprawdź regulację podprocesorów — model zgody, lista, procedura sprzeciwu.
  5. Zweryfikuj prawo do audytu — czy umowa gwarantuje Ci prawo kontroli procesora.
  6. Sprawdź zasady usuwania danych — co dzieje się z danymi po zakończeniu umowy.
  7. Zweryfikuj procedurę naruszeń — czy procesor ma obowiązek niezwłocznego informowania Cię o incydentach.
  8. Oceń transfer danych — czy procesor lub jego podprocesorzy transferują dane poza EOG? Jeśli tak — czy wdrożono odpowiednie mechanizmy?
  9. Przeprowadź due diligence procesorów — szczególnie nowych dostawców.
  10. Zaplanuj regularne przeglądy — umowy powierzenia powinny być aktualizowane co najmniej raz w roku.

Potrzebujesz pomocy z umowami powierzenia?

Umowy powierzenia przetwarzania danych to fundament bezpieczeństwa prawnego w outsourcingu. Źle przygotowana umowa — lub jej brak — naraża organizację na kary UODO i odpowiedzialność odszkodowawczą. W Kancelarii Radcowskiej dr Joanny Maniszewskiej-Ejsmont przygotowujemy i weryfikujemy umowy powierzenia dostosowane do rzeczywistych relacji z procesorami — od małych lokalnych dostawców po międzynarodowe platformy chmurowe.

 

Notariusz-Joanna-Maniszewska-Ejsmont

Skontaktuj się z nami — przygotujemy lub zweryfikujemy Twoje umowy powierzenia.

  +48 692 004 515

  kancelaria@maniszewska.pl

Related Posts