Umowa powierzenia danych osobowych - standardowe klauzule

Należy przyjąć, że użytkownicy usługi chmury obliczeniowej są administratorami danych, a dostawcy tej usługi – wykonawcami, czyli tzw. procesorami. Takie zdanie prezentuje Grupa robocza art. 29 (zespół roboczy ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych powołany na mocy art. 29 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady). Analogiczne stanowisko zajmuje Generalny Inspektor Ochrony Danych Osobowych.

Takie założenie nakłada określoną odpowiedzialność na zaangażowane podmioty. Użytkownik, jako administrator danych, jest odpowiedzialny za przestrzeganie wszystkich przepisów ustawy o ODO. Przede wszystkim odpowiada za ich bezpieczeństwo i jakość przetwarzania. Z tej odpowiedzialności nie zwalnia administratora powierzenie zbioru informacji innemu podmiotowi. Zwłaszcza w przypadku korzystania z usługi chmury obliczeniowej, którą może realizować kilku wykonawców – procesorów i podwykonawców – subprocesorów.

Administrator powinien dysponować wiedzą na temat wszystkich podmiotów przetwarzających dane. Uprawnienie to powinno zostać mu zagwarantowane w pisemnej umowie, którą jest on zobowiązany zawrzeć z wykonawcą (zgodnie z art. 31 ustawy o ODO).

W dokumencie tym administrator powinien udzielić uprzedniej zgody na dalsze przekazywanie danych. Ustanowiony powinien zostać również obowiązek informowania administratora o wszelkich planowanych zmianach dotyczących dodania lub zastąpienia podmiotów, którym podpowierzono przetwarzanie. Przy czym przez cały czas powinien on mieć możliwość wyrażenia sprzeciwu wobec takich zmian lub rozwiązania umowy. Pisemnie wzajemne relacje powinien uregulować również wykonawca z podwykonawcą świadczonej usługi chmury obliczeniowej. Ten drugi nie może przetwarzać danych administratora w większym zakresie i innych celach niż procesor. Zostają również nałożone na niego takie same obowiązki, jak na procesora w umowie głównej z administratorem.

Umowa powierzenia powinna przede wszystkim określać kto przekazuje, a kto odbiera dane. Jaki zakres i kategorie informacji są przekazywane do przetwarzania. W jakim celu i przez jaki czas będą wykonywane określone operacje przetwarzania. Strony muszą wskazać środki podjęte przez strony w celu zagwarantowania praw osób, których dane dotyczą, w tym m.in. przedstawić podstawę prawną przekazania. Ponadto odbiorca baz musi określić środki organizacyjne i techniczne, które zastosuje w celu ich zabezpieczenia.

Bardzo ważnym jest określenie w umowie możliwości podwykonawstwa przetwarzania. Podmiot odbierający dane musi wiedzieć czy i na jakich zasadach może podzlecać powierzone mu czynności. Koniecznie trzeba opisać obowiązki po zakończeniu świadczenia usług. We wspomnianej Decyzji dostępne są szczegółowe treści klauzul umownych. Tak stworzona umowa powierzenia zabezpieczy formalnie możliwość przetwarzania danych w chmurze obliczeniowej przed niekorzystnymi konsekwencjami prawnymi.

Przypominam również, że umowa powierzenia może stanowić część szerszej umowy. Może być dodana do umowy w formie aneksu, możliwe jest również sporządzenie zupełnie odrębnego dokumentu w takiej sprawie.