Logo Logo
Platforma szkoleniowa
Umowa powierzenia danych osobowych

Umowa powierzenia danych osobowych

Umowa powierzenia danych osobowych to jeden z kluczowych dokumentów w systemie zgodności z RODO. Zawiera się ją w sytuacji, gdy administrator zleca podmiotowi zewnętrznemu wykonywanie określonych czynności na danych, a podmiot ten przetwarza dane wyłącznie w imieniu administratora i zgodnie z jego udokumentowanymi poleceniami. W praktyce umowa powierzenia porządkuje zasady współpracy, określa zakres i cel przetwarzania oraz ustala wymagania dotyczące bezpieczeństwa danych osobowych.

Dla firm, organizacji, fundacji i stowarzyszeń dokument ten ma istotne znaczenie, ponieważ wiele procesów biznesowych opiera się na wsparciu dostawców – m.in. usług IT, hostingu, poczty elektronicznej, księgowości, kadr i płac, systemów CRM, narzędzi marketingowych, call center, serwisu czy rozwiązań chmurowych. W każdym z tych obszarów może dojść do sytuacji, w której dostawca staje się podmiotem przetwarzającym i realizuje czynności przetwarzania na danych powierzonych przez administratora.

Ważne: obowiązek zawarcia umowy powierzenia nie zależy od skali przetwarzania. Decydujące znaczenie ma rola podmiotu zewnętrznego i charakter współpracy, a nie liczba rekordów czy wielkość bazy danych.

Umów się na bezpłatną konsultację!

☎️ 22 53 53 016

✉️ biuro@directgroup.com.pl

Kiedy potrzebna jest umowa powierzenia danych osobowych?

Umowa powierzenia danych osobowych jest konieczna wtedy, gdy:

  • podmiot zewnętrzny ma dostęp do danych w związku z świadczeniem usług,
  • przetwarza dane wyłącznie na udokumentowane polecenie administratora i nie wykorzystuje ich do własnych celów,
  • jego rola odpowiada definicji podmiotu przetwarzającego w rozumieniu art. 4 pkt 8 RODO.

Typowe przykłady obejmują:

  • obsługo kadrowo-płacową i księgową,
  • hosting, utrzymanie serwerów, administrację systemami,
  • systemy CRM, helpdesk i inne narzędzia operacyjne,
  • dostawców poczty elektronicznej i narzędzi komunikacyjnych,
  • IT, serwis, obsługę systemów informatycznych,
  • agencje marketingowe pracujące na bazie danych klientów administratora,
  • usługi archiwizacji lub niszczenia dokumentów zawierających dane osobowe.

W tych sytuacjach dostawca działa jako podmiot przetwarzający.

➡️ Jeżeli natomiast podmiot otrzymuje dane jako niezależny odbiorca i wykorzystuje je do własnych celów (np. realizując własne obowiązki prawne lub własną działalność), nie mamy do czynienia z powierzeniem, lecz z udostępnieniem danych. Wówczas właściwe są inne podstawy prawne i ustalenia między stronami, a nie umowa powierzenia.

Administrator i podmiot przetwarzający – podział ról i odpowiedzialności

Umowa powierzenia porządkuje relację między stronami i precyzuje zakres odpowiedzialności:

  • administrator odpowiada za legalność przetwarzania, wybór podstawy prawnej, realizację obowiązku informacyjnego, zgodność procesów z RODO oraz wybór podmiotu przetwarzającego, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych,
  • podmiot przetwarzający odpowiada za przetwarzanie danych wyłącznie na udokumentowane polecenie administratora oraz za wdrożenie i utrzymywanie odpowiednich środków bezpieczeństwa zgodnie z art. 28 i 32 RODO.

W praktyce administrator powinien mieć realną możliwość weryfikacji sposobu przetwarzania powierzonych danych, w szczególności ustalić:

  • gdzie dane są przechowywane,
  • kto ma do nich dostęp,
  • jakie systemy i podwykonawcy są wykorzystywani,
  • czy stosowane zabezpieczenia są adekwatne do ryzyka.

Jest to nie tylko dbanie o uregulowanie kwestii formalnych, ale także o realizację zasady rozliczalności.
 

Co powinna zawierać umowa powierzenia danych osobowych?

Art. 28 ust. 3 RODO wskazuje elementy, które muszą znaleźć się w umowie powierzenia przetwarzania danych. Dobrze przygotowana umowa nie powinna ograniczać się do formalnego minimum. Powinna być dopasowana do rzeczywistych procesów, zakresu usługi i poziomu ryzyka. W praktyce umowa obejmuje w szczególności:

  • określenie stron, ich ról oraz danych kontaktowych,
  • przedmiot i czas trwania przetwarzania,
  • charakter i cel przetwarzania,
  • rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, w tym informacje na temat występowania szczególnych kategorii danych osobowych,
  • obowiązek przetwarzania danych wyłącznie na udokumentowane polecenie administratora,
  • obowiązek zapewnienia poufności przez osoby upoważnione do przetwarzania danych,
  • obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych zgodnie z art. 32 RODO,
  • zasady korzystania z usług podwykonawców oraz warunki dalszego powierzenia,
  • obowiązek wspierania administratora w realizacji praw osób, których dane dotyczą,
  • obowiązek wsparcia administratora przy ocenie skutków dla ochrony danych oraz w przypadku konsultacji z organem nadzorczym (jeżeli wymagane)
  • zasady postępowania w przypadku naruszenia ochrony danych, w obowiązek niezwłocznego informowania administratora,
  • umożliwienie administratorowi przeprowadzania audytów RODO i kontroli UODO,
  • obowiązek usunięcia lub zwrotu danych po zakończeniu świadczenia usług, zgodnie z decyzją administratora.

➡️Ważne: wymagania dotyczące bezpieczeństwa powinny być opisane w sposób adekwatny do ryzyka. W praktyce mogą obejmować m.in. kontrolę dostępu, rejestrowanie operacji, segmentację uprawnień, kopie zapasowe, testowanie zabezpieczeń, a w uzasadnionych przypadkach także szyfrowanie danych.

Umowa powierzenia a rejestry i dokumentacja RODO

Umowa powierzenia powinna być spójna z pozostałą dokumentacją RODO. W praktyce oznacza to, że:

  • powierzenie powinno zostać uwzględnione w rejestrze czynności przetwarzania administratora (w zakresie kategorii odbiorców lub podmiotów przetwarzających),
  • podmiot przetwarzający powinien ująć daną usługę w swoim rejestrze kategorii czynności przetwarzania,
  • organizacja powinna prowadzić ewidencję zawartych umów powierzenia danych osobowych – jako element zarządzania dostawcami (dobra praktyka organizacyjna),
  • informacje o kategoriach odbiorców danych powinny znaleźć odzwierciedlenie w treściach realizujących obowiązek informacyjny.

Spójność między umowami, rejestrami i klauzulami informacyjnymi ułatwia wykazanie zgodności z zasadą rozliczalności oraz pozwala zachować kontrolę nad tym, gdzie i przez kogo przetwarzane są dane osobowe.
 

Najczęstsze błędy w umowach powierzenia danych osobowych

Najczęściej spotykane problemy to:

  • brak umowy powierzenia, mimo że dostawca ma dostęp do danych osobowych,
  • zawarcie umowy powierzenia w relacji, w której w rzeczywistości dochodzi do udostępnienia danych niezależnemu administratorowi,
  • zbyt ogólne określenie rodzaju danych i brak wskazania kategorii danych osobowych oraz kategorii osób, których dane dotyczą,
  • brak uregulowania zasad dalszego powierzenia (podwykonawców),
  • brak konkretnych wymagań dotyczących środków technicznych i organizacyjnych,
  • niespójność treści umowy z faktycznymi procesami, narzędziami i sposobem realizacji usługi,
  • brak jasnych zasad postępowania w przypadku naruszenia ochrony danych, w tym obowiązku niezwłocznego informowania administratora,
  • brak aktualizacji umowy po zmianie zakresu usług, systemów lub modelu współpracy.

➡️ Ważne: umowa powierzenia powinna być dostosowana do rzeczywistego zakresu usług. Uniwersalne wzory często nie uwzględniają specyfiki przetwarzania ani kluczowych ryzyk, co w praktyce osłabia kontrolę administratora nad przetwarzaniem powierzonych danych.

Co możemy wykonać dla Twojej organizacji?

W Direct Group przygotowujemy i porządkujemy umowy powierzenia przetwarzania danych osobowych – zarówno w ramach wdrożenia RODO, jak i w bieżącym wsparciu organizacji. W zależności od potrzeb możemy:

  • przeanalizować relacje z dostawcami i ustalić, gdzie występuje powierzenie danych osobowych,
  • przygotować umowy powierzenia dopasowane do konkretnych usług i poziomu ryzyka,
  • zweryfikować już zawarte umowy oraz wskazać braki i obszary wymagające zmian,
  • opracować standardy weryfikacji dostawców i minimalne wymagania bezpieczeństwa,
  • uporządkować ewidencję umów powierzenia oraz zasady ich przeglądu i aktualizacji (jako element zarządzania dostawcami),
  • zapewnić wsparcie Inspektora Ochrony Danych w zakresie nadzoru nad relacjami z podmiotami przetwarzającymi,
  • powiązać umowy z rejestrami i dokumentacją, tak aby system pozostał spójny.
     

Zadbaj o bezpieczne powierzenie przetwarzania danych

Jeżeli Twoja organizacja korzysta z usług zewnętrznych i przekazuje dane osobowe dostawcom, umowa powierzenia danych osobowych powinna być kompletna, aktualna i dopasowana do rzeczywistego modelu współpracy. Skontaktuj się z nami - przygotujemy lub zweryfikujemy umowy powierzenia, uporządkujemy dokumentację i pomożemy zapewnić zgodność oraz odpowiedni poziom bezpieczeństwa danych osobowych zgodnie z RODO.

☎️ 22 53 53 016

✉️ biuro@directgroup.com.pl

 

➡️ Zobacz inne usługi w zakresie Wdrożenia RODO:

- polityki i procedury bezpieczeństwa
- zgłoszenia i incydenty RODO
- klauzule informacyjne i zgody

Skorzystaj z naszych usług!

Polityki i procedury bezpieczeństwa
Polityki i procedury bezpieczeństwa
Zgłoszenia i incydenty RODO
Zgłoszenia i incydenty RODO
Dokumenty organizacyjne
Dokumenty organizacyjne
Klauzule informacyjne i zgody RODO
Rejestry
Przekazanie danych osobowych

Darmowe, indywidualne szkolenie RODO dla firm, fundacji i instytucji

Zadzwoń do nas
tel. 22 53 53 016
Napisz e-mail
biuro@directgroup.com.pl
konsultacja RODO