Umowa powierzenia – Na co zwrócić szczególną uwagę

4052848608_b86dc4b5d1_zPrzygotowanie skutecznego systemu ochrony danych osobowych jest związane z przygotowaniem wielu różnych elementów. Niestety w przekonaniu większości społeczeństwa ochrona danych osobowych jest utożsamiana z zebraniem zgody na przetwarzanie danych osobowych lub obowiązkiem rejestracji zbioru danych. Wielokrotnie słyszeliśmy, podczas różnego rodzaju spotkań, że ktoś zebrał zgodę lub zarejestrował zbiór danych i w związku z powyższym spełnia wszystkie wymogi ustawy o ochronie danych osobowych. Takie podejście jest zbytnim uproszczeniem. Ochrona danych osobowych to nie tylko zgody i rejestracja ale o wiele więcej elementów jakie należy spełnić.

Jednym z wymagań wynikających z ustawy o ochronie danych osobowych jest konieczność zawarcia umów powierzenia przetwarzania danych w rozumieniu art. 31 ustawy o ochronie danych osobowych. Przytoczony artykuł stanowi, iż administrator danych może powierzyć innemu podmiotowi przetwarzanie danych osobowych. Należy zaznaczyć, iż to do obowiązków administratora danych należy zawarcie komentowanej umowy. W przypadku braku umowy powierzenia administrator danych może się narazić na zarzut przekazania danych osobie nieuprawnionej i odpowiedzialność karną z art 51 oraz 52 ustawy o ochronie danych osobowych. Nie ma obowiązku, aby umowa powierzenia została zawarta na odrębnym dokumencie. Nic nie stoi na przeszkodzie aby stanowiła część umowy głównej (oddzielny paragraf czy rozdział umowy głównej).

Ustawa o ochronie danych osobowych wskazuje wprost z jakich elementów powinna być złożona umowa powierzenia. Do jej obligatoryjnych elementów należy zaliczyć wskazanie zakresu oraz celu powierzenia przetwarzania.
Zakres (czyli jakie dane powierzamy) najlepiej aby był wskazany enumeratywnie, tak samo jak w przypadku zgłoszenia zbioru do GIODO. W umowie wskazujemy więc, że zakres powierzonych danych obejmuje np. : imię, nazwisko, numer telefonu itp. Co jednak zrobić w sytuacji kiedy nie wiemy jaki dokładnie będzie zakres powierzonych danych? Taka sytuacja może mieć miejsce kiedy np. zlecamy firmie trzeciej zniszczenie dokumentów zawierających danych osobowe i nie jesteśmy wstanie wskazać zamkniętego katalogu danych. Można wtedy w umowie powierzenia nawiązać do przedmiotu umowy głównej – np. poprzez umieszczenie w niej następującej treści:  „ w zakresie niezbędnym do realizacji umowy o współpracy”.
Kolejnym elementem obligatoryjnym w umowie powierzenia jest wskazanie celu. W umowie powierzenia można wskazać więcej niż jeden cel powierzenia przetwarzania. Jeżeli np. firma zewnętrzna świadczy nam usługi outsourcingu kadr oraz usługi związane z archiwizacją dokumentacji, to nic nie stoi na przeszkodzie, aby obydwa te cele wskazać w jednej umowie powierzenia. Jeżeli wskazanie celu jest problematyczne z uwagi na skomplikowanie stosunku umownego, to również tutaj odwołałbym się do samej umowy o współpracy czyli – np. poprzez umieszczenie w niej następującej treści:  „w celu niezbędnym do realizacji przedmiotu umowy o współpracy”.

Ostatnim obligatoryjnym elementem związanym z zawarciem poprawnej umowy powierzenia jest forma pisemna. Art. 31 ustawy o ochronie danych osobowych przewiduje wymóg zawarcia umowy powierzenia przetwarzania danych osobowych w formie pisemnej. Należy jednak podkreślić, iż komentowany przepis nie określa jednak skutków niedochowania formy pisemnej. Zgodnie ze stanowiskiem doktryny przyjmuje się, że w odniesieniu do formy zawierania umowy powierzenia należy stosować przepisy kodeksu cywilnego  o formie czynności prawnych[1]. W mojej ocenie jest, to prawidłowe podejście, gdyż art. 31 ustawy o ochronie danych osobowych korzysta z pojęcia „umowy”, które jest definicją zaczerpniętą z prawa cywilnego. W związku z powyższym należy uznać, że do umowy, czyli dwustronnej czynności prawnej, należy stosować przepisy kodeksu cywilnego o formie czynności prawnych. Zgodnie zaś z art. 73 § 1 kodeksu cywilnego należy uznać, iż umowa powierzenia przetwarzanie danych osobowych zawarta w formie innej niż pisemna jest ważna, a zastrzeżenie formy w ustawie o ochronie danych osobowych zostało dokonane do celów dowodowych (o czym stanowi art. 74 § 1 kodeksu cywilnego). W tym miejscu należy jednak przytoczyć odmienne stanowisko GIODO w omawianej kwestii – konieczność zawarcia umowy powierzenia w formie pisemnej.[2] W mojej ocenie wskazane w sprawozdaniu stanowisko GIODO jest zbyt rygorystyczne i nie współgra z literalnym brzmieniem przepisów.[3]
Z dokonanej analizy wynika, iż do umowy powierzenia przetwarzania danych osobowych należy stosować przepisy kodeksu cywilnego, a te nie przewidują w omawianej sytuacji nieważności czynności prawnej w przypadku braku formy pisemnej. Należy również podkreślić, iż brak formy pisemnej pozostaje bez wpływu na kwestie dowodowe związane z samą umową. Postawiona teza wynika wprost z art. 74 § 1 kodeksu cywilnego stanowiącego, iż ograniczenia dowodowe nie dotyczą relacji pomiędzy przedsiębiorcami, a taka sytuacja ma miejsce w związku z zawieraniem umów powierzenia.

W umowie powierzenia warto również uwzględnić inne elementy niż wyłącznie cel i zakres. Do dobrych praktyk przy zawieraniu umów powierzenia można zaliczyć dodawanie postanowień związanych z prawem do przeprowadzenia kontroli u procesora (podmiot, któremu powierzono przetwarzanie danych). Warto również podkreślić, iż niektóre dokumenty branżowe wręcz obligują do tego administratora danych (np. Rekomendacja D). Do pozostałych postanowień dodatkowych jakie można uwzględnić w umowie powierzenia zaliczyłbym: sposób wydawania upoważnień, informowanie o kontroli GIODO, kary umowne za niezgodne z umową i ustawą o ochronie danych osobowych przetwarzanie powierzonych danych oraz uregulowanie kwestii związanych z dalszym podpowierzeniem przetwarzania danych.

[1] J. Barta, R. Markiewicz, Ochrona danych osobowych Komentarz, s. 464

[2] Sprawozdanie GIODO za rok 2003, s. 130

[3] Patrz orzeczenie WSA z 6 lutego 2007 r. II SA/Wa 1786/06

Kontrola u procesora

Na początku należy wyjaśnić kim jest procesor[1]. Dla przeciętnego „Kowalskiego” wskazane pojęcie oznacza część komputera odpowiedzialną za prędkość obliczeniową. Jednakże w świecie ochrony danych osobowych pojęcie procesora oznacza podmiot, któremu administrator danych powierzył przetwarzanie danych osobowych. Powierzenie danych jest związane z podpisaniem stosownej umowy, która powinna zawierać przynajmniej zakres i cel powierzonych danych osobowych (zgodnie z art. 31 ustawy o ochronie danych osobowych). Co jeszcze należy wpisać do ww. umowy?

Biorąc pod uwagę okoliczność, iż nawet pomimo zawarcia umowy powierzenia, w razie naruszenia zasad ochrony danych osobowych odpowiada administrator danych, w mojej ocenie należy dodać postanowienie regulują kontrolę zasad przetwarzania powierzonych danych osobowych, czyli możliwość skontrolowania czy nasze dane osobowe są przetwarzane zgodnie z ustawą o ochronie danych osobowych. Moje dotychczasowe doświadczenie wskazuje, że nie zawsze podpisanie umowy powierzenia przekłada się na spełnienie wszystkich wymagań w niej zapisanych.

Dlatego właśnie warto skontrolować naszego podwykonawcę, zwłaszcza wtedy gdy przetwarza dane istotne dla naszego funkcjonowania np. w związku z outsouricngiem kadrowym. Dodatkowo, kontrole u procesorów są zaliczane do tzw. „dobrych praktyk” z zakresu ochrony danych osobowych na co również wskazuje GIODO[2].

Od czego zacząć? Pierwszym krokiem jest wpisanie odpowiednich postanowień do umowy powierzenia. Kolejnym etapem jest przeprowadzenie właściwej kontroli.

W porozumieniu z procesorem powinniśmy wyznaczyć osoby biorące udział w kontroli. Następnym elementem jest przygotowanie planu kontroli, który usprawni nam cały proces. W ww. planie powinniśmy wskazać obszary przez nas kontrolowane oraz dokumenty jakich będziemy wymagali od procesora (np. Polityki Bezpieczeństwa Danych Osobowych oraz Instrukcji Zarządzania Systemami Informatycznymi). Podczas samej kontroli powinniśmy się skoncentrować na tym, czy procesor przed rozpoczęciem przetwarzania danych podął środki zabezpieczające powierzony zbiór danych oraz czy spełnił wymagania określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. W związku z powyższym, sprawdzamy czy osoby mające dostęp do danych mają wystawione upoważnienia do przetwarzania danych oraz czy podpisały oświadczenia o zachowaniu danych w poufności. Powinniśmy również sprawdzić aktualność ewidencji osób upoważnionych. Kolejnym krokiem jest sprawdzenie, czy nasze dane nie są przekazywane dalej np. powierzane, a jeżeli tak to do jakiego podmiotu trafiają i czy jest podpisana stosowana umowa podpowierzenia. Jeżeli nasze dane osobowe są przetwarzane w systemach informatycznych to należy sprawdzić również te systemy, szczególnie pod kątem konstrukcji haseł oraz spełnienia wymagań z rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Na koniec powinniśmy dokonać oględzin miejsca przetwarzania danych osobowych zwracając szczególną uwagę na zabezpieczenia fizyczne i warunki w jakich są przechowywane dane osobowe (czy do obszaru przetwarzania danych nie mają dostępu osoby nieupoważnione).

Końcowym etapem jest przygotowanie notatki podsumowującej naszą kontrolę. Notatka powinna zawierać opis odkrytych uchybień. Notatkę należy przekazać do osób odpowiedzialnych w naszej organizacji za zarządzanie bezpieczeństwem informacji (Zarząd/Dyrektor) oraz można ją przesłać do procesora.



[1] Zwany również „administrującym” sygn. II KKN 438/2000

Upoważnienie czy powierzenie?

Ustawa o ochronie danych osobowych, chociaż nie należy do najdłuższych ustaw, jest dosyć problematyczna w stosowaniu. Jedną ze wspomnianych trudności jest kwestia prawidłowego umocowania osób mających dostęp do danych osobowych.

Ustawa o ochronie danych osobowych wprowadza w tym zakresie dwie instytucje – upoważnienie do przetwarzania danych osobowych i powierzenie przetwarzania danych osobowych.

Obowiązek posiadania upoważnienia wynika z art. 37 ustawy o ochronie danych osobowych. Ww. artykuł przewiduje, że do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby mające upoważnienie nadane przez administratora danych. Ustawa o ochronie danych osobowych nie określa formy upoważnienia, która może być pisemna (zalecana przez GIODO) oraz elektroniczna. Upoważniamy więc pracowników, praktykantów, stażystów oraz osoby, które współpracują z administratorem danych na podstawie umów cywilnoprawnych.

Kwestia powierzenia została uregulowana w art. 31 ustawy o ochronie danych osobowych. Administrator danych może powierzyć (zlecić) przetwarzanie danych innemu podmiotowi, który sam nie staje się ich administratorem. Umowa powierzenia powinna mieć formę pisemną i określać przynajmniej zakres i cel powierzenia.

Wszystko wydaje się więc proste – osoby zatrudnione u administratora danych upoważniamy, a z pozostałymi podmiotami, które wykonują dla nas usługi outsourcingowe zawieramy umowy powierzenia.

Co jednak zrobić z osobą fizyczną prowadzącą działalność gospodarczą, która właściwie pracuje dla nas jak zwykły pełnoetatowy pracownik? Zgodnie z przyjętym powyżej podziałem należałoby podpisać z nią umowę powierzenia przetwarzania. Podpisanie takiej umowy wiąże się z pewnymi konsekwencjami. Podmiot, któremu powierzyliśmy dane powinien wdrożyć zabezpieczenia z rozdziału 5 ustawy o ochronie danych osobowych, czyli np. posiadać politykę bezpieczeństwa danych oraz instrukcję zarządzania systemami informatycznymi. Opracowanie ww. dokumentów nie jest zaś proste i osoba fizyczna prowadząca działalność gospodarczą może nie być w stanie tego zrobić. Co wtedy? Rozwiązaniem jest wystawienie upoważnienia do przetwarzania danych. Jest to dopuszczalne ze względu na okoliczność, iż art. 37 ustawy o ochronie danych osobowych mówi o upoważnieniu osoby, a którą to osoba fizyczna prowadząca działalność przecież jest (a contrario z tego powodu nie jest możliwe wystawienie upoważnień dla innych form działalności jak np. spółki prawa handlowego).

Kolejny przykład nie jest już taki oczywisty. Co zrobić z osobami fizycznymi prowadzącymi działalność gospodarczą, których charakter wykonywanej pracy nie jest podobny do obowiązków „zwykłych” pracowników (np. dostęp do naszej bazy ma 10 tyś. sklepikarzy). Czy z każdą z takich osób powinniśmy podpisać umowę powierzenia? W mojej ocenie w komentowanej sytuacji również możemy ich upoważnić z tych samych powodów co we wcześniejszym przykładzie.

Jednym z elementów rozstrzygających o tym czy wystawić upoważnienia czy podpisać umowę powierzenia jest kwestia tego, czy dana osoba zatrudnia pracowników. Jeżeli osoba fizyczna prowadząca działalność zatrudnia pracowników to powinniśmy z nią podpisać umowę powierzenia nawet, jeżeli charakter jej pracy nosi znamiona pracy na etat.
Kolejnym elementem jest charakter współpracy. W przypadku gdy współpraca ma charakter wyłącznie tymczasowym, bezpieczniejsze z punktu widzenia administratora danych będzie podpisanie umowy powierzenia.

W opisywanych w tym artykule kwestiach pozostaje zawsze luz decyzyjny po stronie administratora danych. To czy wybrać upoważnienia czy powierzenie powinno być wypadkową bezpieczeństwa danych, charakteru współpracy oraz skutków organizacyjno-technicznych wybranego rozwiązania. Warto zwrócić uwagę, iż brak upoważnień lub umów powierzenia może prowadzić do odpowiedzialności karnej z art. 51 ustawy o ochronie danych osobowych.