Publicystyka - ngo.pl

RODO ma ogromny wpływ na zawieranie i wykonywanie naszych umów - umów zawieranych przez organizacje pozarządowe. Kodeks cywilny, który jest podstawowym źródłem regulacji dotyczących umów, nie wskazuje wprost jakie dane wymagane są do zawarcia umowy, ale wymogi takie wynikają z innych przepisów, a także zwyczajów czy kultury danej organizacji. Jednocześnie RODO zawiera zasadę minimalizacji, która nakazuje przetwarzać jedynie te dane, które są konieczne dla realizacji umowy.

Należy pamiętać, że pojęcie przetwarzania obejmuje operacje lub też ich zestaw, które wykonywane są na danych osobowych. Przetwarzaniem będzie więc m.in.: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Niektóre umowy wymagają do prawidłowego wykonania przekazania danych osobowych, które są przetwarzane przez organizacje. Na przykład żeby zawrzeć umowę ubezpieczenia dla uczestników wycieczki trzeba przekazać ich dane ubezpieczycielowi. Podobna sytuacja będzie miała miejsce w przypadku zlecenia przez NGO ewaluacji szkolenia zewnętrznej firmie, do której konieczny jest kontakt z jego uczestnikami. 

Takie przekazanie jest możliwe, ale wymaga zawarcia umowy o powierzeniu przetwarzania danych osobowych. Jej brak może spowodować negatywne konsekwencje zarówno dla podmiotu przekazującego, jak i odbierającego dane. W pierwszym przypadku ze względu na bezprawne udostępnienie danych osobowych, a w drugim za przetwarzanie danych osobowych bez podstawy prawnej.

Treść umowy o powierzeniu przetwarzania danych wyznacza art. 28 RODO. Należy jednak pamiętać, że umowa ta jest rodzajem umowy o świadczenie usług, a więc zgodnie z dyspozycją art. 750 Kodeksu cywilnego stosujemy do niej odpowiednio przepisy o zleceniu. Dotyczy to tych kwestii, które nie są uregulowane bezpośrednio w RODO. Na przykład Kodeks cywilny nie przewiduje zachowania żadnej określonej formy do skutecznego zawarcia umowy zlecenia. Może być zatem ona zawarta w formie ustnej. Natomiast zgodnie z art. 28 ust. 9 RODO umowa powierzenia ma formę pisemną, ale dozwolona jest również forma elektroniczna. Dlatego ważne będzie zawarcie umowy powierzenia w formie mailowej, jak również przez akceptację regulaminu zamieszczonego na stronie internetowej, a jednocześnie umowa w formie ustnej nie będzie ważna. Przepisy Kodeksu cywilnego pozwalają na regulacje w umowie kwestii dotyczących odpłatności ( umowa może być nieodpłatna, ale trzeba to zaznaczyć) lub kar umownych.

Umowa o powierzeniu przetwarzania danych osobowych musi określać przedmiot, charakter i cel przetwarzania, rodzaj przetwarzanych danych osobowych oraz kategorii osób, których dane dotyczą, jak również obowiązki oraz uprawnienia administratora i czas trwania przetwarzania.

Przedmiotem umowy jest zawsze powierzenie przetwarzania danych osobowych. Rozumiane są one (dane osobowe) jako wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Należy pamiętać, że pojęcie to wykracza poza tradycyjne rozumienie i jest interpretowane szeroko. Na przykład zgodnie z orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej do danych osobowych zalicza się adres IP (sprawa C-582/14). Dlatego warto w umowie wskazać wszystkie kategorie przekazywanych danych, nawet jeżeli część z nich nie będzie przekazywana od razu.

Podmiot przetwarzający jest uprawniony wyłącznie do dokonania powierzonych mu przez Administratora czynności przetwarzania, mając jednocześnie obowiązek odpowiedniego zabezpieczenia przetwarzanie danych, za co jest odpowiedzialny.

Charakter przetwarzania dotyczy środków jakie podmiot przetwarzający może wykorzystywać, aby wykonać umowę. Na przykład możemy zastrzec, że dane będą przetwarzane tylko w formie papierowej, co utrudni ich wyciek w wyniku ataku hackerskiego. Cel powierzenia przetwarzania, odnosi się do zakresu konkretnej umowy, z którą ta umowa (umowa powierzenia) jest związana. Na przykład przekazujemy biuru księgowemu dane naszych pracowników w celu sporządzenia listy płac, bo taki obowiązek wzięło na siebie biuro. Bez danych pracowników biuro nie stworzy listy płac - jednocześnie jej tworzenie jest przetwarzaniem danych osobowych, do którego musi być podstawa prawna. Podobnie celem przetwarzania może być rozpatrywanie reklamacji czy świadczenie usług prawnych.

Kolejnym zastrzeżeniem umownym jest wskazanie jakie kategorie operacji (np. łączenie, zestawianie czy usuwanie) i jakie kategorie danych są przetwarzane. Należy podkreślić, że w przypadku rodzaju danych osobowych RODO wyróżnia dane zwykłe, przykładowo wskazane w art. 4 pkt. 1 oraz dane szczególnej kategorii wskazane w art. 9. Umowa musi wskazywać konkretne dane osobowe, które poddawane będą przetwarzaniu.

Umowa powierzenia przetwarzania danych osobowych musi zawierać regulacje związane z obowiązkami podmiotu przetwarzającego. RODO wyraźnie wskazuje, że taki podmiot musi zapewnić wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi prawne i chroniło prawa osób, których dane dotyczą. Związane jest z tym zapewnienie, iż wszelkie działania, które zostaną podjęte na danych, uwzględniać będą zasady bezpieczeństwa przetwarzania określone w art. 32 RODO. Ponadto podmiot przetwarzający musi zapewnić, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.

Czas przetwarzania danych jest zależny od treści umowy podstawowej (może to być - odwołując się do przykładu wspomnianego powyżej - umowa z biurem księgowym o tworzeniu listy płac). RODO nie formułuje żadnych wytycznych, co do maksymalnego okresu powierzenia, ale należy pamiętać o zasadzie minimalizacji, która wskazuje, że dane powinny być przetwarzane najkrócej jak to możliwe. Strony mogą wskazać określony termin przetwarzania np. 24 miesiące lub uzależniony od określonego warunku np. „na czas obowiązywania umowy głównej”. Po upływie wskazanego czasu umowa ulega rozwiązaniu, a podmiot przetwarzający zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że istnieje przepis, który nakazuje ich przechowywanie.

Umowa powinna również zawierać zapis nakazujący podmiotowi przetwarzającemu pomoc administratorowi w wywiązywaniu się z obowiązków: odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO oraz związanych z zachowaniem bezpieczeństwa danych osobowych i oceny skutków dla ochrony danych.

Można również przewidzieć możliwość podpowierzania danych, to znaczy przekazania ich kolejnemu podmiotowi. Zasadą jest, że działanie takie wymaga szczegółowej lub ogólnej pisemnej zgody administratora danych. Drugi ze wskazanych wariantów jest bardziej elastyczny i wydaje się być lepiej pasującym do realiów organizacji pozarządowych. Warto jednak zastrzec sobie konieczność poinformowania o przekazaniu danych innemu podmiotowi wraz z jego wskazaniem oraz możliwością złożenia wiążącego sprzeciwu. Ważne jest aby podkreślić, że zmiana podmiotu przetwarzającego nie wpływa na zmianę obowiązków ochrony danych wynikających z umowy zawartej pomiędzy pierwotnym podmiotem przetwarzającym, a administratorem. W związku z tym w naszej umowie powierzenia przetwarzania danych należy zaznaczyć, iż kolejna umowa musi zapewniać nie niższy poziom ochrony niż ten, który jest gwarantowany umową zawartą pomiędzy pierwotnym podmiotem przetwarzającym, a administratorem.