Aktualności

Umowy powierzenia przetwarzania danych osobowych. Czy każdy podwykonawca to podmiot przetwarzający dane osobowe?

Umowy powierzenia przetwarzania danych osobowych. Czy każdy podwykonawca to podmiot przetwarzający dane osobowe?

Zawierając umowy o świadczenie usług, wiele kontrahentów domaga się zawarcia dodatkowej umowy powierzenia przetwarzania danych osobowych (DPA). To, czy w wykonaniu umowy głównej dojdzie do powierzenia przetwarzania danych osobowych zależy od tego, jakie role w procesie przetwarzania danych pełnią jej strony. Nie każde przekazanie kontrahentowi danych osobowych wiązać się będzie z powierzeniem ich do przetwarzania. Przed podpisaniem umowy o powierzeniu danych osobowych do przetwarzania warto więc sprawdzić, czy rzeczywiście jest ona potrzebna.

Dane osobowe
W pierwszej kolejności należy ustalić, czy wykonanie umowy o świadczenie usług w ogóle wymaga przekazania jakichkolwiek danych osobowych kontrahentowi. Na przykład zlecenie wykonania odzieży roboczej dla pracowników może zostać zrealizowane bez podawania ich imion i nazwisk, a jedynie rozmiaru odzieży. Umowy powierzenia przetwarzania nie zawiera się również z firmą sprzątającą biuro, ponieważ do jej wykonania nie są potrzebne żadne dane osobowe. Należy jednak pamiętać o zachowaniu odpowiednich zasad bezpieczeństwa przy dopuszczaniu osób trzecich do obszaru przetwarzania danych osobowych i uregulować te kwestie w umowie.

Rola w procesie przetwarzania
Następnie należy ustalić w jakiej roli (administratora czy podmiotu przetwarzającego) występują strony konkretnej umowy. Skutecznym testem weryfikacji roli w procesie przetwarzania jest wyobrażenie sobie, że po zakończeniu umowy podmiot przekazujący dane osobowe żąda ich zwrotu lub usunięcia. Jeżeli wykonanie takiego obowiązku byłoby niemożliwe ze względu na własne obowiązki lub interesy kontrahenta, nie zachodzi powierzenie przetwarzania danych osobowych.

W niektórych przypadkach ustalenie ról dla stron umowy nie będzie budzić wątpliwości np. przy zleceniu wykonania obowiązkowych badań okresowych pracowników, zarówno pracodawca jak i podmiot wykonujący badanie będą odrębnymi administratorami danych osobowych. Co do zasady umowy powierzenia przetwarzania danych osobowych nie trzeba zawierać również z kancelarią prawną, której np. zleca się prowadzenie sprawy o zapłatę przeciwko kontrahentowi oraz z operatorem publicznym świadczącym usługi kurierskie. Te podmioty przetwarzają bowiem dane osobowe we własnym celu, a  nie na zlecenie i pod nadzorem administratora.

Niekiedy ustalenie roli w procesie przetwarzania danych osobowych będzie wymagało analizy dodatkowych okoliczności sprawy. Przykładowo, przeprowadzenie szkolenia z zakresu BHP pracowników przed podmiot zewnętrzny co do zasady będzie wymagało powierzenia przetwarzania danych osobowych przez pracodawcę. Jeżeli jednak szkolenie będzie przeprowadzał jednoosobowy przedsiębiorca, który w celu przeprowadzenia szkolenia będzie korzystał z systemów informatycznych pracodawcy (np. do obsługi kadrowej), może się okazać, że wystarczy upoważnić go do przetwarzania danych osobowych, tak jak zwykłego pracownika. Podobna sytuacja będzie miała miejsce w przypadku pracowników zatrudnionych na umowach B2B. Jeżeli wykonują oni działania w ramach infrastruktury zleceniodawcy, w zależności od konkretnej sytuacji, możliwa jest rezygnacja z umowy powierzenia przetwarzania danych osobowych na rzecz upoważnienia.

Nie należy zapominać, ze na gruncie RODO możliwe jest również współadministrowanie danymi osobowymi, a więc wspólne ustalanie celu i sposobu przetwarzania danych. Typowymi przykładami współadministrowania danymi są rekrutacja pracowników prowadzona wspólnie przez spółki należące do tej samej grupy kapitałowej oraz współorganizowanie konkursu dla klientów z partnerem biznesowym. W takim przypadku zamiast umowy powierzenia przetwarzania danych, administratorzy zawierają umowy o współadministrowanie, w celu uregulowania sposobu realizacji praw i obowiązków związanych z przetwarzaniem danych osobowych.

W przypadku wątpliwości czy podczas zawarcia i wykonania umowy głównej, należy dodatkowo uregulować kwestie związane z przetwarzaniem danych osobowych, warto skonsultować tą kwestię z prawnikiem.



Anna Szymielewicz

Prawnik

Anna Szymielewicz

Radca prawny, Counsel

Anna Szymielewicz

Kontakt:

ul. Rondo ONZ 1
00-124 Warszawa