Kwestię powierzenia danych osobowych przez administratora regulują przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Rozporządzenie wymaga, aby powierzenie przetwarzanie danych odbywało się na podstawie zawartej umowy pomiędzy administratorem danych a podmiotem przetwarzającym (czyli procesorem). Umowa powinna mieć formę pisemną, w praktyce może stanowić załącznik do umowy głównej.
Dobrze, ale o co właściwie chodzi w tym powierzeniu? W powierzeniu przetwarzania danych osobowych chodzi o to, że podmiot przetwarzający przetwarza dane w czyimś imieniu, np. firmy po to, aby zrealizować dla niej jakiś cel.
Podmiot przetwarzający może przetwarzać dane jedynie w takim zakresie w jakim zostało mu to powierzone. Tworząc umowę powinniśmy określić w niej co będzie przedmiotem przetwarzania, czyli jakie dane będą przetwarzane na podstawie umowie głównej pomiędzy stronami, jaki będzie cel, czas i charakter przetwarzania, jaki rodzaj danych osobowych i kategorie osób, których dotyczą przetwarzane dane oraz bardzo ważny element – jakie są prawa i obowiązki administratora.
Umowa powinna stanowić w szczególności:
1). podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora. Dotyczy to także przekazywania danych osobowych do państw trzecich, organizacji międzynarodowych jeśli taki obowiązek został przez niego nałożony przez prawo Unii lub prawo państwa członkowskiego któremu podmiot przetwarzający podlega;
2). osoby, które zostały upoważnione do przetwarzania danych, zobowiązały się do zachowania tajemnicy tych danych;
3). biorąc pod uwagę charakter przetwarzana danych, procesor w miarę możliwości pomaga administratorowi wywiązać się z obowiązku odpowiadania na żądania osób, których dane dotyczą w zakresie wykonywania ich praw, w zakresie wykonywania jej praw określonych w rozdziale III RODO;
4). procesor podejmie wszelkie środki zabezpieczające dane wymagane na mocy art. 32 RODO;
5). mając na celu charakter przetwarzania procesor pomaga administratorowi wywiązać się z obowiązków, które zostały określone w art. 32-36 RODO, chodzi tu o przepisy nakładające na administratora obowiązek zapewnienia bezpieczeństwa danych poprzez zastosowanie odpowiednich środków organizacyjnych i technicznych oraz obowiązek zgłaszania naruszeń dotyczących ochrony danych osobowych do organu nadzorczego;
6). w zależności od decyzji administratora po zakończeniu współpracy podmiot przetwarzający zobowiązany jest do zwrotu danych osobowych lub trwałego usunięcia wszystkich istniejących kopii danych;
7). umożliwia administratorowi, audytorowi upoważnionemu przez administratora przeprowadzania inspekcji, audytów i uczestniczy w nich.
Wymienione obowiązki nie stanowią katalogu zamkniętego. W zależności od wzajemnych potrzeb strony mogą dowolnie uzupełniać zapisy umowy o dodatkowe postanowienia. Mogą dodać zapis o odpowiedzialności za uchybienia lub rozszerzyć dokument o punkt dotyczący kar i wysokości tych kar. Każda nieprawidłowość dotycząca powierzenia przetwarzania danych osobowych może skutkować nie tylko nałożeniem kary przez Prezesa Urzędu Ochrony Danych Osobowych, ale również odpowiedzialnością cywilnoprawną względem osoby, której dane zostały nieprawidłowo wykorzystane przez podmiot przetwarzający.
