menuMENU

Umowa powierzenia przetwarzania danych - kiedy i jak

Współpracujesz z biurem rachunkowym, trzymasz stronę na cudzym hostingu, wysyłasz newslettery przez zewnętrzne narzędzie? Za każdym razem, gdy ktoś przetwarza dane Twoich klientów lub pracowników w Twoim imieniu, potrzebujesz umowy powierzenia przetwarzania danych. Bez niej odpowiadasz za cudze błędy i narażasz firmę na karę - także wtedy, gdy sam niczego nie zawaliłeś. Wyjaśniam, kiedy taka umowa jest obowiązkowa, co musi zawierać i jak nie dać się złapać na darmowym wzorze z internetu.

Kiedy potrzebujesz umowy powierzenia

Kluczowa jest relacja: administrator (to Ty - decydujesz po co i jak przetwarzasz dane) i podmiot przetwarzający, czyli procesor (robi to na Twoje zlecenie i według Twoich instrukcji). Umowę powierzenia danych osobowych zawierasz zawsze wtedy, gdy inny podmiot dotyka danych, za które to Ty odpowiadasz.

W praktyce dotyczy to niemal każdej firmy działającej online. Typowi procesorzy to:

  • Biuro rachunkowe - przetwarza dane Twoich pracowników i kontrahentów, prowadząc księgowość i kadry.
  • Hostingodawca - na jego serwerach leżą dane ze strony, sklepu i skrzynek mailowych.
  • Narzędzie do newslettera - przechowuje bazę adresów e-mail Twoich subskrybentów.
  • Agencja marketingowa - obsługuje kampanie i ma wgląd w dane klientów.
  • Firma IT - serwisuje systemy, w których znajdują się dane osobowe.

Ważny wyjątek: jeśli druga strona sama decyduje o celach i sposobach przetwarzania (np. bank, kurier, urząd), to nie jest procesor, tylko odrębny administrator - i umowa powierzenia jej nie dotyczy.

Co musi zawierać umowa powierzenia przetwarzania danych

Treść umowy reguluje art. 28 RODO. To nie jest dowolny szablon - umowa, w której brakuje wymaganych elementów, jest wadliwa, nawet jeśli obie strony ją podpiszą. Obowiązkowo musi określać:

  1. Przedmiot i czas przetwarzania.
  2. Charakter i cel przetwarzania.
  3. Rodzaj danych osobowych (dane zwykłe czy szczególnej kategorii, np. dane o zdrowiu).
  4. Kategorie osób, których dane dotyczą (pracownicy, klienci, subskrybenci).
  5. Obowiązki i prawa administratora, czyli Twoje uprawnienia wobec procesora.

Poza tym procesor musi zobowiązać się do konkretnych rzeczy:

  • przetwarzania danych wyłącznie na Twoje udokumentowane polecenie,
  • zapewnienia poufności przez osoby dopuszczone do danych,
  • wdrożenia odpowiednich środków bezpieczeństwa,
  • korzystania z podpowierzenia (dalszych podwykonawców) tylko za Twoją zgodą,
  • pomocy przy realizacji praw osób i przy zgłaszaniu naruszeń,
  • poddania się audytom i kontrolom z Twojej strony,
  • usunięcia lub zwrotu danych po zakończeniu współpracy.

Brak choćby jednego z tych punktów oznacza, że umowa nie spełnia wymogów RODO - a to już podstawa do zarzutu przy kontroli.

Czym grozi brak umowy albo zły wzór

Powierzenie danych bez umowy to nie formalność, którą można odłożyć na później. Realne ryzyka to:

  • Kara finansowa - brak wymaganej umowy powierzenia jest naruszeniem samym w sobie, niezależnie od tego, czy doszło do wycieku.
  • Odpowiedzialność za cudzy incydent - gdy dane wyciekną u procesora, a Ty nie masz umowy regulującej jego obowiązki, to Ty jako administrator odpowiadasz przed osobami i przed urzędem.
  • Pozorna ochrona z darmowego wzoru - gotowce z sieci zwykle są ogólne, nieaktualne i nie opisują Twojej faktycznej sytuacji (rodzaju danych, zakresu, podpowierzenia). Podpisany, ale wadliwy dokument daje złudne poczucie bezpieczeństwa.

Jak zrobić to dobrze

Zacznij od inwentaryzacji: wypisz wszystkich, którzy dotykają danych Twoich klientów i pracowników. Przy każdym ustal, czy to procesor, czy odrębny administrator. Dla procesorów przygotuj umowę dopasowaną do realnego zakresu współpracy - a nie skopiowaną między firmami o zupełnie innym profilu. Umowa powierzenia to jeden z filarów dokumentacji RODO, więc powinna być spójna z rejestrem czynności i pozostałymi dokumentami. Jeśli przetwarzasz dane na dużą skalę lub dane wrażliwe, warto rozważyć wsparcie Inspektora Ochrony Danych (IOD), który utrzyma to w porządku na bieżąco.

Potrzebujesz umowy powierzenia? Pomogę

Przygotowuję i dopasowuję umowy powierzenia przetwarzania danych do konkretnej firmy - Twoich dostawców, rodzaju danych i sposobu pracy. Sprawdzę też umowy, które już masz, i wskażę, czego w nich brakuje wobec art. 28 RODO. Mogę zająć się całą dokumentacją RODO albo prowadzić stałą opiekę jako IOD, żebyś nie musiał śledzić tego samodzielnie. Napisz do mnie - ustalimy, czego naprawdę potrzebuje Twoja firma.

Zespół Kancelarii KZ

Masz pytania? Chętnie pomożemy!

Najczęściej pytacie nas o:

Czy warto zastrzec nazwę lub logo jako znak towarowy?

  • Jakie dokumenty powinien mieć mój sklep internetowy?
  • Czy moje regulaminy i polityki są zgodne z aktualnym prawem?
  • Czy RODO mnie dotyczy i co muszę wdrożyć?

Jeśli też się nad tym zastanawiasz – skontaktuj się z nami. Odpowiemy na Twoje pytania i pomożemy podjąć właściwe decyzje.

Jak wygląda kontakt?

  1. Wypełnij formularz – krótko napisz, z czym się do nas zgłaszasz.
  2. Magda albo Przemek oddzwonią i wyjaśnią wszystko, co trzeba – bez żadnych zobowiązań.

Zadzwoń do nas: 795-428-460

lub uzupełnij formularz kontaktowy:

Wyrażam zgodę na przetwarzanie moich danych osobowych w celu obsługi zapytania wysłanego przez formularz kontaktowy zgodnie z polityką prywatności.
Zadzwoń: 795-428-460
Skontaktuj się z nami

Zadzwoń do nas: 795-428-460
Nie odbieramy? Musimy być zajęci. Zostaw niżej swój numer telefonu, a oddzwonimy tak szybko jak to możliwe.

Jesteś 23 osobą, która uzupełniła dziś ten formularz.
Wyrażam zgodę na przetwarzanie moich danych osobowych w celu obsługi zapytania wysłanego przez formularz kontaktowy zgodnie z polityką prywatności.