Umowa powierzenia przetwarzania danych osobowych: kiedy jest potrzebna i co powinna zawierać?
Umowa powierzenia przetwarzania danych osobowych to dokument, który porządkuje zasady przekazywania danych osobowych innemu podmiotowi w celu wykonania określonej usługi. Najczęściej pojawia się wtedy, gdy jedna firma, organizacja albo osoba prowadząca działalność korzysta z pomocy zewnętrznego wykonawcy, który w trakcie realizacji zadania ma dostęp do danych klientów, pracowników, użytkowników, kontrahentów albo innych osób.
Taka umowa jest szczególnie ważna przy współpracy z biurem rachunkowym, firmą IT, dostawcą hostingu, agencją marketingową, operatorem systemu CRM, firmą kadrową, call center, software house’em, administratorem strony internetowej, firmą obsługującą newsletter albo podmiotem, który przetwarza dane w imieniu administratora. Dokument powinien jasno określać kto powierza dane, kto je przetwarza, w jakim celu, jakiego rodzaju dane są objęte współpracą, jakie zabezpieczenia mają być stosowane oraz co dzieje się z danymi po zakończeniu umowy.
Umowa powierzenia nie powinna być traktowana jako formalny dodatek bez znaczenia. W praktyce pomaga ustalić odpowiedzialność stron, ograniczyć ryzyko nieuprawnionego dostępu do danych i uporządkować współpracę z podmiotem zewnętrznym. Jest szczególnie przydatna wtedy, gdy wykonawca nie działa na własne potrzeby, ale wykonuje czynności na danych osobowych w imieniu drugiej strony.
Czym jest umowa powierzenia przetwarzania danych osobowych?
Umowa powierzenia przetwarzania danych osobowych to porozumienie między administratorem danych a podmiotem przetwarzającym. Administrator decyduje zwykle o celach i sposobach przetwarzania danych, natomiast podmiot przetwarzający wykonuje określone czynności na danych w imieniu administratora.
W praktyce oznacza to, że firma korzystająca z zewnętrznej usługi powinna ustalić, czy usługodawca ma dostęp do danych osobowych i czy wykonuje na nich czynności w jej imieniu. Jeżeli tak, umowa powierzenia może być potrzebna jako osobny dokument albo jako załącznik do głównej umowy o świadczenie usług.
Kiedy najczęściej potrzebna jest umowa powierzenia?
Umowa powierzenia jest potrzebna przede wszystkim wtedy, gdy zewnętrzny podmiot uzyskuje dostęp do danych osobowych nie dla własnych celów, ale po to, aby wykonać usługę dla administratora. Może to być dostęp techniczny, organizacyjny, księgowy, marketingowy, informatyczny albo administracyjny.
- biuro rachunkowe przetwarza dane pracowników, klientów lub kontrahentów,
- firma IT ma dostęp do bazy użytkowników lub systemu CRM,
- agencja marketingowa obsługuje newsletter albo kampanie z danymi klientów,
- dostawca hostingu przechowuje dane użytkowników strony internetowej,
- software house utrzymuje aplikację z kontami użytkowników,
- zewnętrzna firma kadrowa obsługuje dokumenty pracownicze,
- call center kontaktuje się z klientami w imieniu administratora.
Najważniejsze elementy umowy powierzenia danych osobowych
Dobrze przygotowana umowa powierzenia powinna być konkretna i dopasowana do rzeczywistej współpracy. Nie wystarczy ogólne stwierdzenie, że strony będą przestrzegać zasad ochrony danych. Dokument powinien wyjaśniać, jakie dane są przekazywane, w jakim celu, na jak długo i jakie czynności może wykonywać podmiot przetwarzający.
Ważne jest również określenie zabezpieczeń, zasad korzystania z dalszych podwykonawców, sposobu zgłaszania naruszeń, pomocy administratorowi oraz obowiązków po zakończeniu współpracy. Dzięki temu strony wiedzą, jak postępować z danymi w codziennej pracy i w sytuacjach problemowych.
Praktyczna tabela: główne części umowy powierzenia przetwarzania danych osobowych
| Element umowy | Co należy określić? | Znaczenie w praktyce |
|---|---|---|
| Strony umowy | administrator danych i podmiot przetwarzający | Wskazuje, kto powierza dane i kto wykonuje czynności na danych. |
| Cel przetwarzania | usługa, projekt, obsługa systemu, księgowość, marketing, IT | Ogranicza użycie danych do ustalonego celu. |
| Zakres danych | rodzaje danych, kategorie osób, systemy, dokumenty | Pokazuje, jakie informacje są objęte powierzeniem. |
| Czynności przetwarzania | przechowywanie, dostęp, modyfikacja, wysyłka, archiwizacja, usuwanie | Określa, co wykonawca może robić z danymi. |
| Zabezpieczenia | środki techniczne i organizacyjne, dostęp, hasła, szyfrowanie, procedury | Pomagają chronić dane przed nieuprawnionym dostępem. |
| Podpowierzenie | czy można korzystać z dalszych podwykonawców | Reguluje przekazywanie danych kolejnym podmiotom. |
| Naruszenia | sposób zgłaszania incydentów i terminy reakcji | Ułatwia szybkie działanie w razie problemu z bezpieczeństwem. |
| Zakończenie współpracy | zwrot, usunięcie, archiwizacja lub dalsze przechowywanie danych | Porządkuje postępowanie z danymi po zakończeniu usługi. |
Dane stron umowy
W umowie należy dokładnie wskazać strony. Jedną stroną jest zwykle administrator danych, czyli podmiot, który powierza dane do przetwarzania. Drugą stroną jest podmiot przetwarzający, czyli wykonawca usługi, który otrzymuje dostęp do danych i przetwarza je w imieniu administratora.
Przy firmach warto wpisać pełną nazwę, adres siedziby, NIP, KRS albo dane działalności gospodarczej oraz osobę uprawnioną do reprezentacji. Jeżeli stroną jest osoba fizyczna prowadząca działalność, należy wskazać dane działalności. Dane powinny być zgodne z główną umową o współpracy.
Przy danych stron warto sprawdzić
- pełną nazwę administratora danych,
- pełną nazwę podmiotu przetwarzającego,
- adresy siedziby lub prowadzenia działalności,
- NIP, KRS, REGON albo dane rejestrowe,
- osoby uprawnione do podpisania dokumentu,
- adresy do korespondencji,
- powiązanie umowy powierzenia z główną umową o usługę.
Administrator danych a podmiot przetwarzający
Przed podpisaniem dokumentu warto ustalić role stron. Administrator decyduje o celach przetwarzania danych i korzysta z usługi. Podmiot przetwarzający wykonuje czynności na danych w imieniu administratora i powinien działać zgodnie z jego instrukcjami.
Nie każda współpraca oznacza powierzenie danych. Czasami obie strony mogą być niezależnymi administratorami, a czasami jedna strona jedynie okazjonalnie widzi dane, ale nie wykonuje na nich regularnych czynności. Dlatego przed przygotowaniem umowy warto przeanalizować, jak dane faktycznie przepływają między stronami.
Przy ustalaniu ról warto odpowiedzieć na pytania
- kto decyduje, po co dane są przetwarzane?
- kto wybiera sposób przetwarzania danych?
- czy wykonawca działa wyłącznie na polecenie administratora?
- czy wykonawca wykorzystuje dane do własnych celów?
- czy dane są potrzebne do wykonania konkretnej usługi?
- czy podmiot zewnętrzny ma stały dostęp do bazy, systemu lub dokumentów?
- czy konieczne jest zawarcie osobnej umowy powierzenia?
Cel powierzenia danych
Umowa powinna jasno określać, w jakim celu dane są powierzane. Cel może wynikać z głównej usługi, na przykład prowadzenia księgowości, obsługi kadrowej, utrzymania systemu IT, wysyłki newslettera, realizacji kampanii reklamowej, obsługi sklepu internetowego albo świadczenia usług hostingowych.
Podmiot przetwarzający powinien korzystać z danych wyłącznie w celu wskazanym w umowie. Jeżeli otrzymuje dane klientów do wysyłki newslettera, nie powinien używać ich do własnego marketingu. Jeżeli otrzymuje dane pracowników do obsługi kadrowej, nie powinien wykorzystywać ich poza tym zakresem.
Cel powierzenia może obejmować
- prowadzenie księgowości lub obsługi kadrowo-płacowej,
- utrzymanie systemu informatycznego,
- hosting strony internetowej lub aplikacji,
- obsługę newslettera i komunikacji mailowej,
- realizację kampanii marketingowej,
- obsługę sklepu internetowego,
- wsparcie techniczne, serwis lub administrację systemami.
Zakres powierzonych danych
Jedną z najważniejszych części umowy jest opis zakresu danych osobowych. Trzeba wskazać, jakie kategorie danych będą przetwarzane. Mogą to być dane identyfikacyjne, kontaktowe, adresowe, rozliczeniowe, kadrowe, płacowe, dane kont użytkowników, historia zamówień, adresy IP, dane z formularzy albo inne informacje potrzebne do realizacji usługi.
Zakres powinien odpowiadać rzeczywistej współpracy. Nie warto wpisywać zbyt szerokiej listy danych, jeśli wykonawca nie będzie miał do nich dostępu. Z drugiej strony zbyt wąski opis może nie obejmować danych, które faktycznie pojawią się w trakcie wykonywania usługi.
Zakres danych może obejmować
- imię i nazwisko,
- adres e-mail i numer telefonu,
- adres zamieszkania lub adres dostawy,
- dane rozliczeniowe i fakturowe,
- dane pracowników i współpracowników,
- dane użytkowników kont internetowych,
- historię zamówień, zgłoszeń lub komunikacji,
- dane techniczne, takie jak identyfikatory użytkownika lub adresy IP.
Kategorie osób, których dane dotyczą
Umowa powinna wskazywać, czyje dane będą przetwarzane. Mogą to być klienci, użytkownicy strony internetowej, subskrybenci newslettera, pracownicy, kandydaci do pracy, kontrahenci, osoby kontaktowe u partnerów biznesowych, dostawcy, pacjenci, uczestnicy wydarzeń albo inne grupy osób.
Ten element jest ważny, ponieważ inne ryzyka pojawiają się przy danych klientów sklepu internetowego, inne przy danych pracowników, a jeszcze inne przy danych osób korzystających z aplikacji. Dokładne wskazanie kategorii osób pomaga lepiej dobrać zabezpieczenia i obowiązki stron.
Kategorie osób mogą obejmować
- klientów i potencjalnych klientów,
- pracowników i współpracowników,
- kandydatów do pracy,
- użytkowników strony internetowej lub aplikacji,
- subskrybentów newslettera,
- kontrahentów i osoby kontaktowe,
- uczestników wydarzeń, szkoleń lub programów lojalnościowych.
Rodzaj czynności wykonywanych na danych
W umowie warto wskazać, jakie czynności podmiot przetwarzający może wykonywać na danych. Może to być przechowywanie, organizowanie, porządkowanie, pobieranie, przeglądanie, modyfikowanie, udostępnianie, wysyłka wiadomości, archiwizacja, usuwanie albo wykonywanie kopii zapasowych.
Opis czynności powinien być zgodny z usługą. Firma hostingowa może przechowywać dane na serwerze, firma IT może mieć dostęp serwisowy, biuro rachunkowe może porządkować dokumenty i rozliczenia, a agencja marketingowa może wysyłać wiadomości do subskrybentów.
Czynności przetwarzania mogą obejmować
- przechowywanie danych,
- dostęp do danych w systemie,
- wprowadzanie i aktualizowanie danych,
- wysyłkę wiadomości lub powiadomień,
- tworzenie kopii zapasowych,
- archiwizację dokumentów,
- usuwanie lub anonimizację danych,
- przygotowywanie raportów lub zestawień.
Czas trwania powierzenia
Umowa powinna określać, jak długo podmiot przetwarzający może przetwarzać dane. Najczęściej okres powierzenia jest powiązany z czasem trwania głównej umowy o świadczenie usług. Po zakończeniu współpracy dane powinny zostać zwrócone, usunięte albo przetwarzane dalej wyłącznie wtedy, gdy istnieje do tego odpowiednia podstawa.
Warto opisać, co dzieje się z danymi po zakończeniu umowy. Dotyczy to szczególnie kopii zapasowych, archiwów, dokumentów księgowych, dostępów do systemów i plików przekazanych w czasie współpracy.
W czasie trwania warto określić
- datę rozpoczęcia powierzenia,
- czy powierzenie trwa przez cały okres głównej umowy,
- kiedy dostęp do danych ma zostać zakończony,
- co dzieje się z kopiami danych po zakończeniu współpracy,
- czy dane są usuwane, zwracane czy archiwizowane,
- w jakim terminie podmiot przetwarzający wykonuje końcowe czynności,
- czy administrator otrzymuje potwierdzenie usunięcia danych.
Instrukcje administratora
Podmiot przetwarzający powinien działać zgodnie z instrukcjami administratora. Oznacza to, że nie powinien samodzielnie zmieniać celu przetwarzania, rozszerzać zakresu danych ani wykorzystywać ich do własnych działań, jeśli umowa tego nie przewiduje.
Instrukcje mogą wynikać z samej umowy, dokumentacji technicznej, zgłoszeń, korespondencji, procedur albo ustaleń roboczych. Warto określić, kto po stronie administratora może wydawać instrukcje i w jakiej formie powinny być przekazywane.
Instrukcje mogą dotyczyć
- zakresu danych udostępnianych wykonawcy,
- sposobu realizacji usługi,
- nadawania i odbierania dostępów,
- usuwania lub poprawiania danych,
- przygotowywania raportów,
- postępowania przy zgłoszeniach osób, których dane dotyczą,
- działań po zakończeniu współpracy.
Zabezpieczenia techniczne i organizacyjne
Umowa powinna wskazywać, że podmiot przetwarzający stosuje odpowiednie środki zabezpieczenia danych. Nie zawsze trzeba szczegółowo opisywać każdy mechanizm techniczny, ale warto wymienić najważniejsze zasady, które mają znaczenie przy danej usłudze.
Zabezpieczenia powinny być dopasowane do rodzaju danych, skali przetwarzania, systemów, osób mających dostęp oraz ryzyka. Inne środki będą właściwe dla prostej obsługi newslettera, a inne dla systemu z danymi kadrowymi, medycznymi, finansowymi lub dużą bazą klientów.
Zabezpieczenia mogą obejmować
- kontrolę dostępu do systemów,
- indywidualne konta użytkowników,
- silne hasła i uwierzytelnianie wieloskładnikowe,
- szyfrowanie danych lub transmisji,
- kopie zapasowe,
- ograniczenie dostępu tylko do osób uprawnionych,
- procedury reagowania na incydenty,
- szkolenie osób mających dostęp do danych.
Osoby upoważnione do przetwarzania danych
Podmiot przetwarzający powinien zadbać, aby dostęp do danych miały wyłącznie osoby, które rzeczywiście potrzebują go do wykonania usługi. Mogą to być pracownicy, współpracownicy, administratorzy systemów, księgowi, konsultanci albo osoby techniczne.
Warto określić, że osoby mające dostęp do danych powinny być zobowiązane do zachowania poufności. Dzięki temu dane nie będą dostępne dla przypadkowych osób, a odpowiedzialność za organizację dostępu będzie bardziej czytelna.
Przy osobach upoważnionych warto określić
- kto może mieć dostęp do danych,
- czy dostęp jest ograniczony do niezbędnego zakresu,
- czy osoby są zobowiązane do poufności,
- czy dostęp jest nadawany indywidualnie,
- czy dostęp jest odbierany po zakończeniu współpracy,
- czy podmiot przetwarzający prowadzi kontrolę dostępów,
- jak postępować przy zmianie pracownika lub współpracownika.
Podpowierzenie danych kolejnym podmiotom
Podmiot przetwarzający może czasami korzystać z dalszych podwykonawców, na przykład dostawcy hostingu, systemu mailingowego, narzędzia CRM, chmury, firmy serwisowej albo innego usługodawcy technicznego. Jeżeli tacy podwykonawcy mają dostęp do danych, warto uregulować podpowierzenie.
Umowa powinna wskazywać, czy administrator wyraża zgodę na korzystanie z dalszych podmiotów, czy wymagana jest każdorazowa zgoda, czy wystarczy ogólna zgoda z prawem sprzeciwu. Warto też określić, że dalszy podmiot powinien spełniać odpowiednie wymagania i chronić dane w podobnym zakresie.
Przy podpowierzeniu warto ustalić
- czy podpowierzenie jest dopuszczalne,
- czy wymagana jest wcześniejsza zgoda administratora,
- czy administrator ma otrzymać listę podwykonawców,
- czy zmiana podwykonawcy wymaga powiadomienia,
- czy administrator może zgłosić sprzeciw,
- czy dalszy podmiot jest zobowiązany do ochrony danych,
- kto odpowiada za działania podwykonawcy.
Przekazywanie danych poza kraj lub Europejski Obszar Gospodarczy
Przy korzystaniu z narzędzi chmurowych, platform mailingowych, systemów CRM, hostingu, narzędzi analitycznych albo zewnętrznych aplikacji może pojawić się pytanie, gdzie faktycznie przetwarzane są dane. Warto ustalić, czy dane pozostają w kraju lub Europejskim Obszarze Gospodarczym, czy mogą być przekazywane dalej.
Jeżeli dane mogą być przekazywane do państw trzecich, trzeba zachować szczególną ostrożność i sprawdzić, czy stosowane są odpowiednie mechanizmy ochrony. W umowie warto wskazać, czy takie przekazanie jest dopuszczalne i na jakich zasadach.
Przy lokalizacji danych warto sprawdzić
- gdzie przechowywane są dane,
- czy wykorzystywane są narzędzia chmurowe,
- czy dane mogą trafiać do państw trzecich,
- jakie zabezpieczenia stosuje dostawca,
- czy administrator jest informowany o lokalizacji danych,
- czy podwykonawcy mają siedziby poza Europejskim Obszarem Gospodarczym,
- czy dokumentacja usługi opisuje transfery danych.
Pomoc administratorowi przy realizacji obowiązków
Podmiot przetwarzający może otrzymywać zgłoszenia albo pytania związane z danymi, na przykład prośby o dostęp do danych, poprawienie danych, usunięcie danych albo ograniczenie przetwarzania. Umowa powinna określać, jak wykonawca ma postępować w takich sytuacjach.
Najczęściej podmiot przetwarzający nie powinien samodzielnie decydować o takich żądaniach, lecz przekazać je administratorowi i pomóc w zakresie wynikającym z usługi. Warto określić terminy i sposób komunikacji, aby administrator mógł odpowiednio zareagować.
Pomoc administratorowi może obejmować
- przekazywanie zgłoszeń osób, których dane dotyczą,
- pomoc w wyszukaniu danych w systemie,
- poprawienie lub usunięcie danych na polecenie administratora,
- przygotowanie informacji technicznych,
- wsparcie przy analizie incydentu,
- pomoc przy audycie lub kontroli,
- wykonanie instrukcji administratora w ustalonym terminie.
Zgłaszanie naruszeń ochrony danych
Umowa powinna określać, co dzieje się w razie naruszenia ochrony danych. Naruszeniem może być utrata danych, nieuprawniony dostęp, wysłanie danych do niewłaściwej osoby, wyciek z systemu, zgubienie nośnika, przejęcie konta albo inne zdarzenie wpływające na bezpieczeństwo danych.
Podmiot przetwarzający powinien niezwłocznie poinformować administratora o incydencie, aby administrator mógł ocenić sytuację i podjąć odpowiednie działania. Warto określić, jakie informacje mają zostać przekazane oraz kto po stronie stron odpowiada za kontakt.
Przy naruszeniach warto określić
- termin poinformowania administratora o incydencie,
- sposób zgłoszenia naruszenia,
- dane osoby kontaktowej,
- opis zdarzenia i jego skutków,
- kategorie danych objętych naruszeniem,
- działania podjęte w celu ograniczenia skutków,
- obowiązek dalszej współpracy przy wyjaśnieniu sprawy.
Audyt i kontrola podmiotu przetwarzającego
Administrator może chcieć sprawdzić, czy podmiot przetwarzający właściwie chroni dane. Umowa powinna określać zasady audytu, kontroli, udzielania informacji, przekazywania dokumentacji albo potwierdzania stosowanych zabezpieczeń.
Audyt nie zawsze musi oznaczać fizyczną kontrolę w siedzibie wykonawcy. Czasami wystarczy ankieta bezpieczeństwa, raport, certyfikat, opis procedur, informacja o zabezpieczeniach albo spotkanie techniczne. Ważne, aby sposób kontroli był rozsądny i nie paraliżował świadczenia usługi.
W zasadach audytu warto określić
- czy administrator ma prawo kontroli,
- w jakiej formie może odbywać się audyt,
- z jakim wyprzedzeniem trzeba zgłosić kontrolę,
- jakie dokumenty może otrzymać administrator,
- czy audyt może obejmować podwykonawców,
- kto ponosi koszty audytu,
- jak chronić poufność informacji podmiotu przetwarzającego podczas kontroli.
Poufność w umowie powierzenia
Umowa powierzenia powinna zawierać postanowienia o poufności. Dane osobowe, dokumenty, informacje o klientach, systemach, zabezpieczeniach i procesach powinny być chronione przed ujawnieniem osobom nieuprawnionym.
Poufność powinna obowiązywać zarówno pracowników, jak i współpracowników podmiotu przetwarzającego. Warto wskazać, że obowiązek poufności trwa również po zakończeniu współpracy, zwłaszcza gdy dana osoba miała dostęp do danych lub dokumentów administratora.
Postanowienia o poufności mogą obejmować
- zakaz ujawniania danych osobom nieuprawnionym,
- wykorzystywanie danych wyłącznie do realizacji usługi,
- ochronę dokumentów i plików,
- obowiązek poufności pracowników i współpracowników,
- zakaz publikowania lub kopiowania danych bez potrzeby,
- zabezpieczenie dostępów do systemów,
- obowiązek poufności po zakończeniu współpracy.
Odpowiedzialność stron
Umowa powinna określać odpowiedzialność stron za naruszenie zasad przetwarzania danych. Podmiot przetwarzający może odpowiadać za działanie niezgodne z umową, instrukcjami administratora, brak zabezpieczeń, nieuprawnione udostępnienie danych, opóźnienie w zgłoszeniu incydentu albo korzystanie z danych poza ustalonym celem.
Administrator również powinien zadbać o prawidłowość powierzania danych, właściwe instrukcje i przekazywanie tylko takich danych, które są potrzebne do realizacji usługi. Odpowiedzialność powinna być opisana rozsądnie i dopasowana do skali współpracy.
Odpowiedzialność może dotyczyć
- przetwarzania danych niezgodnie z instrukcjami,
- naruszenia poufności,
- nieuprawnionego przekazania danych innym podmiotom,
- braku odpowiednich zabezpieczeń,
- opóźnienia w zgłoszeniu naruszenia,
- korzystania z danych do własnych celów,
- nieusunięcia danych po zakończeniu współpracy.
Umowa powierzenia jako załącznik do głównej umowy
Umowa powierzenia może być osobnym dokumentem albo załącznikiem do głównej umowy o współpracy. Często jest dodawana do umowy z biurem rachunkowym, agencją marketingową, dostawcą systemu, hostingiem, software house’em albo firmą obsługującą sklep internetowy.
Jeżeli umowa powierzenia jest załącznikiem, warto jasno wskazać, z jaką główną umową jest powiązana. Powinna również obowiązywać przez cały okres, w którym wykonawca ma dostęp do danych. Jeżeli główna umowa zostaje rozwiązana, trzeba ustalić, co dzieje się z danymi.
Przy załączniku warto określić
- do jakiej głównej umowy odnosi się powierzenie,
- czy powierzenie obowiązuje od dnia rozpoczęcia usługi,
- czy kończy się razem z główną umową,
- czy postanowienia o poufności trwają dłużej,
- który dokument ma pierwszeństwo przy sprzeczności zapisów,
- jak zmieniać zakres powierzenia,
- jak dokumentować zakończenie przetwarzania.
Co zrobić z danymi po zakończeniu współpracy?
Po zakończeniu umowy podmiot przetwarzający powinien postąpić z danymi zgodnie z ustaleniami stron. Może to oznaczać zwrot danych administratorowi, usunięcie danych, usunięcie kont i dostępów, przekazanie kopii dokumentów albo archiwizację tylko w zakresie, w jakim jest to potrzebne i dopuszczalne.
Warto szczególnie opisać kopie zapasowe i dane przechowywane w systemach technicznych. Nie zawsze możliwe jest natychmiastowe usunięcie wszystkich kopii z backupów, dlatego dobrze jest wskazać zasady ich retencji i ograniczenia dostępu.
Po zakończeniu współpracy warto ustalić
- czy dane zostaną zwrócone administratorowi,
- czy dane zostaną usunięte,
- w jakim terminie nastąpi usunięcie lub zwrot,
- czy administrator otrzyma potwierdzenie wykonania czynności,
- jak traktować kopie zapasowe,
- czy dostęp do systemów zostanie odebrany,
- czy niektóre dane mogą być przechowywane dalej z uzasadnionych powodów.
Najczęstsze błędy w umowie powierzenia przetwarzania danych
Jednym z najczęstszych błędów jest użycie bardzo ogólnego dokumentu, który nie opisuje rzeczywistej współpracy. Umowa powierzenia powinna odpowiadać temu, jakie dane są przekazywane, kto ma do nich dostęp, jakie systemy są używane i jakie czynności wykonuje podmiot przetwarzający.
Drugim problemem jest brak regulacji dotyczącej podwykonawców. Wiele usług działa na narzędziach chmurowych, hostingowych lub technicznych, dlatego warto wiedzieć, czy dane trafiają do kolejnych dostawców. Pominięcie tej kwestii może prowadzić do niejasności.
Częstym błędem jest również brak ustaleń dotyczących zakończenia współpracy. Jeżeli strony nie opiszą, co stanie się z danymi po rozwiązaniu umowy, mogą powstać wątpliwości dotyczące kopii, archiwów, dostępów i dokumentów.
Błędy, których warto unikać
- brak dokładnego określenia stron i ich ról,
- zbyt ogólny cel powierzenia,
- brak opisu kategorii danych i osób, których dane dotyczą,
- brak zasad dotyczących zabezpieczeń,
- pominięcie podpowierzenia danych,
- brak procedury zgłaszania naruszeń,
- brak zasad audytu i kontroli,
- nieuregulowane usunięcie danych po zakończeniu współpracy,
- podpisanie dokumentu niedopasowanego do realnej usługi.
Jak przygotować umowę powierzenia krok po kroku?
Przygotowanie dokumentu warto rozpocząć od ustalenia, czy w danej współpracy rzeczywiście dochodzi do powierzenia danych. Następnie należy określić role stron, cel powierzenia, zakres danych, kategorie osób, czynności przetwarzania i czas trwania współpracy.
Kolejnym krokiem jest opisanie zabezpieczeń, podwykonawców, naruszeń, audytu, poufności i zasad zakończenia przetwarzania. Dokument powinien być spójny z główną umową i odpowiadać rzeczywistemu przepływowi danych.
Praktyczna kolejność przygotowania
- Ustalenie, czy wykonawca przetwarza dane w imieniu administratora.
- Wskazanie administratora i podmiotu przetwarzającego.
- Opisanie celu powierzenia danych.
- Określenie kategorii danych osobowych.
- Określenie kategorii osób, których dane dotyczą.
- Wskazanie czynności wykonywanych na danych.
- Opisanie zabezpieczeń technicznych i organizacyjnych.
- Uregulowanie podwykonawców i podpowierzenia.
- Dodanie zasad zgłaszania naruszeń i audytu.
- Określenie, co dzieje się z danymi po zakończeniu współpracy.
Elementy, które warto sprawdzić przed podpisaniem
Przed podpisaniem umowy warto sprawdzić, czy dokument jest konkretny i zgodny z rzeczywistą usługą. Jeżeli firma IT ma dostęp tylko techniczny do systemu, dokument powinien to odzwierciedlać. Jeżeli biuro rachunkowe przetwarza dane pracowników, klientów i kontrahentów, zakres danych powinien być odpowiednio szerszy.
Warto również upewnić się, że podmiot przetwarzający rozumie swoje obowiązki i ma realne środki do ochrony danych. Sama deklaracja w umowie nie wystarczy, jeśli w praktyce brakuje procedur, kontroli dostępu, poufności lub zasad reagowania na incydenty.
Najważniejsze elementy końcowej weryfikacji
- poprawne dane stron,
- jasno określone role stron,
- cel powierzenia danych,
- zakres danych i kategorie osób,
- czynności wykonywane przez podmiot przetwarzający,
- czas trwania powierzenia,
- zabezpieczenia techniczne i organizacyjne,
- zasady podpowierzenia, naruszeń i audytu,
- postępowanie z danymi po zakończeniu współpracy.
Dlaczego dobrze przygotowana umowa powierzenia danych jest ważna?
Dobrze przygotowana umowa powierzenia przetwarzania danych osobowych pomaga bezpiecznie korzystać z usług zewnętrznych wykonawców. Administrator wie, komu przekazuje dane i na jakich zasadach, a podmiot przetwarzający wie, co może robić z danymi i jakie ma obowiązki.
Najważniejsze jest to, aby dokument był dopasowany do realnej współpracy. Powinien zawierać dane stron, role administratora i podmiotu przetwarzającego, cel powierzenia, zakres danych, kategorie osób, czynności przetwarzania, zabezpieczenia, zasady podpowierzenia, naruszenia, audyt oraz postępowanie z danymi po zakończeniu umowy.
Umowa powierzenia nie jest tylko formalnością. To praktyczne narzędzie, które porządkuje odpowiedzialność, ogranicza ryzyko i pomaga wykazać, że dane osobowe są przetwarzane w sposób przemyślany. Przy każdej współpracy z zewnętrznym wykonawcą warto sprawdzić, czy ma on dostęp do danych osobowych i czy taki dokument powinien zostać podpisany przed rozpoczęciem usługi.