Startupowcy często nie mają własnej infrastruktury IT i nie muszą jej mieć by ich biznes dobrze prosperował. Swoje projekty internetowe rozwijają w oparciu o korzystanie z usług zewnętrznego dostawcy oferującego infrastrukturę IT – providera. Zapominają o zawarciu umowy powierzenia, co generuje niepotrzebny stres i koszty w przypadku dociekliwości klientów bądź kontroli GIODO.

Przedmiotem umowy powierzenia, jak sama nazwa wskazuje, jest świadczenie usługi powierzenia przetwarzania danych osobowych (np. zapisywania, kopiowania, modyfikowania, usuwania). W ramach tej umowy administrator danych (czyli spółka / 1 os. dz. gospodarcza / osoba fizyczna ) zleca przetwarzanie danych osobowych powierzającemu (czyli podmiotowi, który w imieniu administratora danych, dane te będzie przetwarzał na określonych w umowie warunkach).

fot. Fotolia | Autorką tekstu jest Beata Marek

Powierzenie nie polega na udostępnieniu danych. Udostępnienie jest przekazaniem danych innemu podmiotowi (odbiorcy danych), który staje się ich administratorem zaś powierzenie polega na przetwarzaniu danych przez podmiot, który nie jest administratorem tych danych.

1. Jakie są rodzaje umów powierzenia?

Wyróżniamy dwa rodzaje umów powierzenia. Są nimi:

  1. Umowa powierzenia
  2. Umowa podpowierzenia (tzw. dalsze powierzenie)

Zgodnie z art. 31 ust. 1 i 2 ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz.U.2002.101.926 j.t. z późn. zm., dalej jako „uodo“) administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. W umowie tej należy określić zakres i cel przetwarzania danych.

Na gruncie polskiej ustawy nie jest uregulowane wprost dalsze powierzenie przetwarzania danych osobowych niemniej dalsze powierzenie jest także formą powierzenia danych osobowych! W związku z tym z interpretacji literalnej brzmienia przepisu, który powołałam powyżej, jasno wynika, iż:

  1. Administrator danych może zawrzeć pisemną umowę powierzenia z dostawcą mającym infrastrukturę IT, następnie odrębną umowę powierzenia z każdym podmiotem, któremu podzleca provider przetwarzanie danych osobowych (np. podmiotom niszczącym dyski) – w praktyce nie do przyjęcia ze względów logistycznych!
  2. Administrator danych może zawrzeć pisemną umowę powierzenia z dostawcą mającym infrastrukturę IT, a w umowie tej wyrazić zgodę na dalsze powierzenie przetwarzania danych osobowych innym podmiotom – rozwiązanie, które sprawdza się w praktyce obrotu gospodarczego.

2. Kiedy powinieneś zawrzeć umowę powierzenia a kiedy umowę podpowierzenia?

Jeżeli nie posiadasz własnej infrastruktury IT, a w ramach świadczonej usługi (np. usługi chmurowej CRM, biura rachunkowego, etc.) będziesz przetwarzał dane osobowe nie tylko klientów, ale także dane osobowe ich klientów czy pracowników, to z dostawcą tejże infrastruktury IT powinieneś zawrzeć pisemną umowę podpowierzenia przetwarzania danych osobowych. Natomiast ze swoimi klientami umowę powierzenia.

Umowa podpowierzenia powinna zostać zawarta przez Ciebie na samym początku rozwoju biznesu. Oczywiście wtedy, gdy tak jak w artykule nie posiadasz własnej infrastruktury IT, a będziesz przetwarzał dane osobowe powierzane przez klientów. To w oparciu o umowę podpowierzenia będą zawierane przyszłe umowy powierzenia z administratorami danych. W ich treści znajdzie się z pewnością zapis o podpowierzeniu przetwarzania danych osobowych.

Obie umowy choć zawierane są w różnym czasie powinny zostać sporządzone jak i zaopiniowane razem. Umowy te nie mogą funkcjonować we wzajemnym oderwaniu. Zakres przetwarzania i cel powinien być tożsamy.

3. Na co warto zwrócić uwagę?

  • Zgodnie z art. 31 ust. 3 uodo przetwarzający jeszcze przed rozpoczęciem przetwarzania danych osobowych jest obowiązany podjąć środki mające na celu zabezpieczenie zbioru danych (zatem w umowie powierzenia warto określić jakie dokładnie zbiory objęte są czynnością przetwarzania). Środki techniczne jak i organizacyjne opisane są w rozdziale V udodo („Zabezpieczenie danych osobowych“) oraz aktach wykonawczych do tejże ustawy. Przepisy napisane są w sposób zawiły dlatego warto skorzystać z usług prawnika, który wyjaśni znaczenie przepisów, opracuje - wspólnie z pracownikami IT - System Zarządzania Bezpieczeństwem Informacji oraz przeprowadzi przez proces jego wdrożenia.
  • W umowie warto zwrócić uwagę na czas jej zawarcia. Najlepiej by był to czas nieokreślony. Niezależnie od czasu trwania umowy należy określić sposób zakończenia zobowiązania.
  • Bardzo ważnym zapisem są postanowienia w przedmiocie wypłaty wynagrodzenia za świadczoną usługę. Jeżeli w umowie zostanie ta kwestia pominięta to będzie istniało domniemanie prawne, że z tytułu wykonania usługi należy się zapłata wynagrodzenia.
  • Administrator danych, który powierza przetwarzanie danych osobowych przez cały czas decyduje o środkach i celach przetwarzania. Tym samym jest on odpowiedzialny za przestrzeganie przepisów uodo. Warto zatem w umowie zawrzeć zapisy dotyczące uprawnień kontrolonych administratora danych.
  • Przetwarzający jest odpowiedzialny za przetwarzanie danych osobowych zgodnie z umową. Na zasadach określonych przepisami prawa będzie on odpowiadał za spowodowanie szkody bądź utracone korzyści na rzecz administratora danych osobowych. Warto jednak już w umowie zawrzeć stosowne zapisy przewidujące kary umowne.
  • Jeżeli umowa zawierana jest pomiędzy podmiotem mającym siedzibę w Polsce i podmiotem mającym siedzibę poza Polską warto by prawem właściwym dla zobowiązania było prawo właściwe ze względu na siedzibę Twojego przedsiębiorstwa.
  • Jeżeli umowa zawierana jest pomiędzy przedsiębiorcami warto by właściwym sądem do rozstrzygania ewentualnych sporów był sąd właściwy ze względu na siedzibę Twojego przedsiębiorstwa.

Beata Marek

IT&IP Lawyer, cyberlaw.pl

Beata specjalizuje się w prawie nowych technologii ze szczególnym uwzględnieniem prawa IT, prawa własności intelektualnej, ochrony danych osobowych, tajemnic prawnie chronionych oraz prawa kontraktowego. Posiada ponad 4 letnie doświadczenie m.in. w obszarze cyberprzestępczosci, cyberzagrożeń oraz bezpieczeństwa informacji. Zajmuje się przede wszystkim szacowaniem ryzyka prawnego (ocena zgodności) oraz obsługą prawną projektów jak i całych spółek z sektora TMT (Technologie, Media, Telekomunikacja). Aktywnie działa w ISSA Polska – Stowarzyszeniu do spraw Bezpieczeństwa Systemów Informacyjnych, Cloud Security Alliance Polska, Fundacji Bezpieczna Cyberprzestrzeń, a także International Cyber Threat Task Force. Redaktor Naczelna kwartalnika naukowego „Przegląd Prawa Technologii Informacyjnych. ICT Law Review”. Jest także autorką bloga dla przedsiębiorców i programistów – cyberlaw.pl

Komentarze (0)