Pierwsza z nich zawiera postanowienia umowne dotyczące: celu i zakresu powierzanych danych, obowiązków ADO i procesora, rozwiązań w zakresie bezpieczeństwa danych, dalszego powierzenia przetwarzania. Uwaga. Pobierz wzór umowy powierzenia przetwarzania danych uwzględniającej standardowe klauzule umowne – cz. I. Zaloguj się do panelu klienta panel.cyberfolks.pl. Po lewej stronie w menu Umowy wybierz zakładkę RODO. Po prawej stronie kliknij + Nowa umowa RODO: Wybierz rodzaj umowy: Powierzenie – jeżeli Ty jesteś Administratorem Danych Osobowych (jeżeli są to Twoje zbiory danych osobowych). Podpowierzenia – jeżeli dane zostały Tobie W umowie powierzenia przetwarzania danych osobowych należy określić cel przetwarzania danych. Cel ten musi być zgodny z prawem, jasny i jednoznaczny. Przetwarzanie danych osobowych musi mieć uzasadniony cel, np. dla celów marketingowych lub realizacji umowy. Umowa musi także wymienić rodzaj danych osobowych, które będą podlegały Administrator danych podczas pozyskiwania danych osobowych, zbieranych od osoby, której dane dotyczą dopełnia tzw. obowiązek informacyjny, czyli podaje jej wszystkie wymagane przez RODO informacje. Warto jednak pamiętać, że RODO przewiduje wyłączenia od tego obowiązku. I właśnie te sytuacje omawiamy. Outsourcing IOD Obowiązek informacyjny jest wyłączony gdy: Osoba, której dane W przypadku procesorów RODO mają oni wiele bezpośrednich zobowiązań, ale jest ich znacznie mniej niż dla administratorów. Obecnie, administratorzy również muszą pisemnie zobowiązać procesorów do przetwarzania danych w określony sposób, ale teraz RODO wyraźnie precyzuje, co ta umowa powinna zawierać. A- A A+. Niejednokrotnie jednostki samorządowe prowadzą stronę Biuletynu Informacji Publicznej, korzystając z rządowych serwerów. Wielu administratorów ma wątpliwości, zwłaszcza w kontekście niedawnej decyzji Prezesa UODO – czy w takiej sytuacji konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych z resortem. 8QqHL. Obecnie na rynku dość powszechnie można spotkać się z praktyką dążenia do zawarcia umowy powierzenia przetwarzania danych osobowych w każdym przypadku, gdy dane osobowe udostępnianie są pomiędzy dwoma firmami. Dążenie do zawarcia takiej umowy pojawia się jako uzupełnienie czy aneks do umowy głównej, regulującej współpracę obu firm. Czytaj także: RODO: osiem czynności w pracy, które zaczną być groźne Dotyczy to najczęściej sytuacji, gdy firma B świadczy dla firmy A określoną usługę. Usługi tej nie można zrealizować bez dostępu do określonych danych osobowych, dla których administratorem jest firma A. Stąd firma A udostępnia firmie B dane osobowe - np. swoich pracowników czy kontrahentów. W takiej sytuacji może rzeczywiście dochodzić do powierzenia danych osobowych firmie B przez firmę A. Ale nie zawsze. To nie jest sytuacja zerojedynkowa. Udostępnienie i przetwarzanie Zgodnie z definicją „przetwarzania" zamieszczoną w art. 4 RODO, przetwarzaniem danych osobowych są również różne rodzaje udostępniania (ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie). Jak każde inne przetwarzanie, udostępnianie danych osobowych na zewnątrz organizacji musi być oparte o jedną z przesłanek legalizacyjnych z art. 6 RODO i realizowane w zgodzie z innymi zasadami przetwarzania opisanymi w art. 5 RODO. Trzeba też pamiętać o prawidłowej realizacji obowiązku informacyjnego opisanego w art. 13 lub art. 14 RODO. W szczególności podmioty, którym dane są udostępniane, powinny być wymienione jako odbiorcy danych. Nie zawsze jednak udostępnianie będzie powierzeniem danych do przetwarzania w rozumieniu art. 28 RODO. Powierzenie danych osobowych do przetwarzania ma miejsce, gdy przetwarzanie danych udostępnionych „ma być dokonywane w imieniu administratora". Tak wyraźnie stanowi zdanie pierwsze art. 28 ust. 1 RODO. Przykład 1. Z powierzeniem danych osobowych do przetwarzania mamy do czynienia wtedy, gdy firma, która otrzymuje dane do przetwarzania, przetwarza je w celach, które określa firma udostępniająca dane osobowe. Firma B realizuje dla firmy A usługi w postaci wyliczenia wynagrodzeń dla pracowników i związanych z tym danin publicznych – podatków i składek na ubezpieczenie społeczne i zdrowotne. Firma A przekazuje dane osobowe swoich pracowników w celu naliczania wynagrodzeń. Firma B przetwarza dane osobowe w celach określonych przez firmę A. Gdyby nie doszło do tzw. outsourcingu usług, firma A musiałaby samodzielnie naliczać wynagrodzenia. Firma B nie przetwarza danych we własnych celach, realizuje ona cele przetwarzania firmy A. W takim przypadku mamy do czynienia z powierzeniem przetwarzania danych osobowych. Firma B jest w takim przypadku tzw. procesorem danych osobowych, dla których administratorem jest firma A. Przykład 2. Z udostępnieniem danych osobowych niebędącym powierzeniem, mamy do czynienia, gdy firma, która otrzymuje dane osobowe, przetwarza je w celach, które samodzielnie kształtuje – nie w celach własnych udostępniającego. Firma B otrzymuje od firmy A dane osobowe, aby móc świadczyć usługi ubezpieczeniowe dla pracowników firmy (ubezpieczenie grupowe). Firma B sama kształtuje cele przetwarzania danych osobowych. Dane przetwarzane są bowiem w celu zawarcia i realizacji polisy ubezpieczeniowej. Taki cel przetwarzania nie jest celem firmy A. Firma A zatem nie może powierzać danych do przetwarzania w tym celu. W takim przypadku nie mamy do czynienia z powierzeniem przetwarzania danych osobowych. Jest to udostępnienie danych osobowych pomiędzy dwoma administratorami danych osobowych, z których każdy realizuje swoje własne cele. Dostęp do platform online Stosunkowo często w relacjach z firmami świadczącymi masowo usługi dla pracowników firm, pojawia się kwestia dostępu do platform online usługodawców. Chodzi tu głównie o dostawców usług medycznych, ubezpieczeniowych lub benefitów pracowniczych. Co do zasady wymiana danych osobowych pomiędzy firmą będącą usługobiorcą a tego typu usługodawcą nie stanowi powierzenia danych do przetwarzania. Niemniej pewien wycinek współpracy może takiej umowy wymagać. Chodzi tu o dostęp pracowników usługobiorców do platform online usługodawców. Przykładem może być dostęp do portalu ubezpieczeniowego usługodawcy, w którym pracownik firmy – usługobiorcy – przetwarza dane pracowników w ramach zgłoszenia szkody. W zależności od charakteru przetwarzania może być w takim przypadku konieczne zawarcie umowy powierzenia obejmującej wycinek współpracy. Wtedy jednak, w tym wąskim wycinku, to usługodawca powierzałby dane osobowe do przetwarzania usługobiorcy. Wzajemne udostępnienia W relacjach pomiędzy firmami warto dbać o przejrzystość sytuacji prawnej. Kwestię wzajemnego udostępniania danych osobowych pomiędzy firmami, niebędącą powierzeniem danych osobowych do przetwarzania, można sformalizować, zawierając umowę regulującą aspekty tego udostępnienia. Umowa taka nie jest wprost uregulowana w RODO, niemniej jej zawarcie w żaden sposób nie pozostaje w sprzeczności z przepisami RODO i jest całkowicie dopuszczalne na gruncie zasady swobody umów wyrażonej w Kodeksie cywilnym. Umowa taka opisywać może zasady wzajemnego udostępnienia danych osobowych pomiędzy dwoma „równoległymi" administratorami danych. W umowie można nawiązać do okoliczności współpracy, określić zakres i cele udostępniania danych osobowych. Umowa może mieć charakter wyjaśniający i porządkujący wzajemne relacje w zakresie udostępnienia danych osobowych. Umowa może także regulować techniczne kwestie wymiany danych, uwzględniające w szczególności środki bezpieczeństwa przyjęte przez każdego z administratorów. Może to uwzględnić choćby konieczność szyfrowania wiadomości mejlowych, w których przesyłane są dane osobowe. Strony mogą także zapewnić się wzajemnie o legalności przetwarzania, w tym udostępniania danych osobowych, wskazując, że wykonały wobec osób, których dane są przetwarzane własne obowiązki informacyjne. Co więcej, w sytuacji, gdy byłoby to pożądane i dogodne dla stron, na podstawie postanowienia tego typu umowy można uregulować kwestię pomocy (pośrednictwa) w wykonywaniu obowiązków informacyjnych płynących z art. 14 RODO. Chodzi tutaj o obowiązek przekazania osobie, której dane są przetwarzane, określonych w tym przepisie informacji, w sytuacji, gdy administrator otrzymuje dane osobowe nie bezpośrednio od tej osoby. Kontrahent może być pośrednikiem w dostarczeniu klauzuli informacyjnej swojego partnera biznesowego do np. swoich pracowników. Skutki niewłaściwej umowy RODO nakłada szereg obowiązków na podmiot przetwarzający dane osobowe na zlecenie. Obowiązkom tym towarzyszą uprawnienia administratora powierzającego dane osobowe do przetwarzania. Sytuacja zbyt pochopnego zawierania umów powierzenia powoduje konieczność zupełnie niewłaściwego i niepotrzebnego obarczania się obowiązkami, za których nieprzestrzeganie grożą wysokie kary. Prowadzi to również do sytuacji absurdalnych. Jedną z nich jest możliwość kontroli przetwarzania danych osobowych przez powierzającego. W praktyce łączy się to z możliwością przeprowadzenia audytu w systemach przetwarzania danych osobowych procesora. Jest to sytuacja całkowicie nieprzystająca do rzeczywistości w przypadku zwykłej współpracy stron związanej jedynie z wymianą danych osobowych, niezbędnych do wykonania umowy wzajemnej. Szymon Szurgacz radca prawny w Sendero Tax & Legal Można zaobserwować tendencję zbyt pochopnego łączenia wymiany danych pomiędzy firmami z koniecznością zawarcia umowy powierzenia regulowanej przez art. 28 RODO. Zupełnie niesłusznie konieczność zawarcia takiej umowy traktuje się jako zasadę, warunek dalszej współpracy stron. Tymczasem obowiązek zawarcia umowy powierzenia nie pojawia się zawsze w przypadku, gdy partnerzy biznesowi udostępniają sobie nawzajem dane osobowe. Aktualizuje on się wyłącznie wtedy, gdy jeden z partnerów realizuje wyłącznie cele przetwarzania danych osobowych drugiego i na jego rzecz. Należy unikać zawierania umów powierzenia w sytuacjach, gdy nie ma do tego podstaw faktycznych. Może rodzić to negatywne skutki prawne i prowadzić do absurdalnych sytuacji. RODO zaostrzyło i uszczegółowiło wymagania stawiane przy powierzaniu danych osobowych innemu podmiotowi. Przepis art. 28 RODO określa podstawowy katalog obligatoryjnych zapisów, które musi posiadać umowa o powierzenie przetwarzania danych osobowych, jakie powinien zawrzeć administrator danych oraz podmiot przetwarzający. Umowa o powierzenie przetwarzania danych osobowych po 25 maja 2018 roku powinna być zgodna z wymaganiami RODO. Wiąże się to z dwoma następstwami. Po pierwsze, po dacie wejścia w życie RODO każdy administrator danych przy powierzaniu danych osobowych innemu podmiotowi ma obowiązek zawrzeć stosowną umowę. Po drugie, umowy o powierzenie danych osobowych zawarte przed 25 maja 2018 roku należy zmodyfikować (np. w formie aneksu) tak, aby spełniały wymogi RODO. Co mówi RODO? RODO nakład obowiązek na administratora danych, aby ten przed powierzeniem danych dokładnie sprawdził podmiot, któremu dane zostaną powierzone. Zgodnie z nowym rozporządzeniem, w przypadku „wycieku” danych osobowych z winy przetwarzającego, administrator odpowiada na równi z przetwarzającym dane. Wprowadzanie tej regulacji daje administratorowi danych uprawnienie do przeprowadzania kontroli podmiotu przetwarzającego w zakresie zgodności jego działalności z umową oraz z RODO. Kolejną nowością jest obowiązek usunięcia lub zwrotu przez podmiot przetwarzających wszelkich danych osobowych otrzymanych od administratora po zakończeniu umowy o powierzenie danych. Chodzi tu także o usunięcie wszelkie istniejące kopie danej bazy danych będącej w posiadaniu podmiotu przetwarzającego. Wyjątkiem są grupy danych wobec których prawo Unii lub prawo państwa członkowskiego nakazuje ich przechowywanie. Elementy umowy Umowa o powierzenie przetwarzania danych osobowych powinna zawierać takie elementy jak: dane administratora danych oraz podmiotu przetwarzającego; przedmiot przetwarzania – należy przez to rozumieć konkretne rodzaje danych jakie zostaną powierzone np. imiona, nazwiska, adresy zamieszkania, adresy email. czas na jaki została zawarta umowa powierzenia przetwarzania; cel w jakim administrator przekazał podmiotowi przetwarzającemu konkretną bazę danych; kategorię osób, których dane dotyczą – RODO określa je jako zbiory danych (np. zbiór danych kontrahentów, zbiór danych pracowników); rodzaj powierzonych danych osobowych (dane zwykłe lub wrażliwe). obowiązki i prawa administratora; obowiązki podmiotu przetwarzającego. Kiedy stosować umowę powierzenia? Umowa o powierzenie przetwarzania danych powinna być stosowana w każdym przypadku, kiedy administrator przekazuje firmie zewnętrznej jakiekolwiek dane osób postronnych. Mogą to być klienci, kontrahenci czy pracownicy firmy. Z szeregu przykładów należy wymienić te, które są najbardziej narażone na kontrolę UODO: usługi zewnętrznego biura księgowości lub księgowego. usługi zewnętrznego działu prawnego (np. stała współpraca z radcą prawnych) usługi firm audytowych (np. zewnętrzny audyt finansowy); obsługa BHP; korzystanie z usług zewnętrznego archiwum; korzystanie z usług firm hostingowych (wynajem przestrzeni na serwerze); Podstawa prawna: Rozporządzenie 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych ( Żaneta Pilarska-Czeluśniak Dziennikarz i redaktor, od lat związana z branżą prawniczą i finansową. Zgodnie z Rozporządzeniem o Ochronie Danych Osobowych (RODO), każdy administrator danych, powinien zawrzeć umowę Powierzenia Przetwarzania Danych Osobowych (umowa PPDO). W związku z tym, jeśli posiadasz w usługę, w ramach której przetwarzasz dane osobowe, musisz zawrzeć z stosowną umowę. Umowa taka zawierana jest między klientem, a bezpłatnie. W tym celu, skorzystaj z generatora umów dostępnego w Panelu Klienta, a po poprawnym jej wygenerowaniu, poczekaj na jej akceptację po stronie Aby wygenerować nową umowę, przejdź na stronę (1), wpisz dane logowania (2), czyli login do Panelu Klienta i hasło, a następnie kliknij przycisk ZALOGUJ SIĘ (3). Po zweryfikowaniu poprawności loginu i hasła system przeniesie Cię do drugiego etapu procedury uwierzytelnienia, w którym otrzymasz wiadomość e-mail lub SMS z kodem jednorazowym. Ten kod należy wpisać w specjalnym oknie weryfikacyjnym, a następnie ponownie kliknąć przycisk ZALOGUJ SIĘ. Dowiedz się więcej o autoryzacji dwuetapowej podczas logowania do Panelu Klienta tutaj. Po zalogowaniu, przejdź do zakładki Moje dane → umowa powierzenia przetwarzania danych osobowych (1), kliknij przycisk Generuj umowę (2) i postąp zgodnie z wyświetlanymi instrukcjami. Dowiedz się szczegółowo, jak zawrzeć umowę PPDO z Co za umowa, ta umowa powierzenia przetwarzania danych? Dlaczego powinna Cię interesować? Otóż niemal każdy przedsiębiorca przekazuje dane osobowe, którymi administruje innym podmiotom – księgowemu, prawnikowi, operatorowi mailingu (np. lub firmom kurierskim, „hostingodawcy” i innym. Zanim zawrzesz umowę powierzenia przetwarzania danych Sprawdź kontrahenta. Co to za firma, gdzie ma siedzibę, czy daje rękojmię bezpiecznego przetwarzania danych? Odpowiadasz za dane osobowe i to, że komuś je powierzyłeś nie oznacza, że masz kłopot z głowy. Sprawdź polityki, procedury i zapewnienia firm, którym powierzasz dane. Jeśli na Twoje pytania o te rzeczy, zrobią wielkie oczy, to się zastanów, czy to na pewno partner godny zaufania. Co powinna zawierać umowa powierzenia przetwarzania danych? jakie dane (np. imię, nazwisko, adres zamieszkania), jakiej kategorii osób (np. pracowników) w jakim celu (np. w celu realizacji umowy o obsługę księgową z dnia … r.), zobowiązanie podmiotu przetwarzającego do adekwatnej ochrony danych i zachowania należytej staranności, zobowiązanie do zapewnienia tajemnicy, zobowiązanie do pomocy w razie zapytań osób, które udostępniły dane, zobowiązanie do niezwłocznego powiadomienia o naruszeniach , prawo kontroli przez administratora i zasady jego wykonywania (np. ile razy, co ile czasu , w jakich godzinach), uzależnienie dalszego powierzenia danych od zgody administratora, okres obowiązywania umowy i ewentualne przypadki, w których możliwe jest wcześniejsze zakończenie umowy (np. niewywiązywanie się z obowiązku ochrony danych), Forma umowy RODO mówi o o formie pisemnej, w tym elektronicznej, co jest trochę mylące, bo polska terminologia nieco się różni (według polskich przepisów forma „elektroniczna” nie jest „pisemna”). Nie mając jednak często wyboru, musimy przyjąć, że dopuszczalna forma ELEKTRONICZNA obejmuje na przykład umowy zawarte przez pocztę ELEKTRONICZNĄ lub na ELEKTRONICZNYM nośniku danych. Co istotne, niezachowanie formy pisemnej nie powoduje nieważności umowy. Możesz mieć jednak problem z udowodnieniem, że zawarłeś umowę, jeśli ograniczysz się do formy ustnej, więc… nie ograniczaj się… Jeśli jesteś z drugiej strony Może się też okazać, że to Tobie zostaną powierzone dane osobowe. Musisz być wówczas świadomy przyjmowanej na siebie odpowiedzialności. Nie oszukujmy się, wiele dotychczas zawieranych umów również zawierało zobowiązanie do zachowania w tajemnicy wszystkich uzyskanych od np. zleceniodawcy danych osobowych i innych informacji. Również teraz, przed wejściem w życie RODO, żaden szanujący się profesjonalista nie mógł sobie pozwolić na „wyciek” powierzonych mu danych. RODO dodatkowo zobowiązuje Cię do współpracy z administratorem przy wykonywaniu jego obowiązków, np. informacyjnego wobec osoby, która powierzyła mu swoje dane. Inne moje artykuły o RODO Zgodnie z Kalendarzem Przedsiębiorczych kwiecień to miesiąc przygotowań do RODO. Żeby pomóc Ci w tych przygotowaniach, napisałam kilka artykułów, które powinien przeczytać każdy mały przedsiębiorca. Oto one: Co to jest RODO? Kiedy można przetwarzać dane osobowe? Jak chronić dane osobowe? I na koniec ten, który właśnie przeczytałeś. Jeśli uważasz, że są przydatne, podziel się nimi z innymi, którzy niepotrzebnie panikują przed wejściem w życie RODO. Pozdrawiam, AKN Artykuł stworzony w ramach projektu #ForumBK – RODO w grupach kapitałowych [English abstract at the bottom of the page]Przekazywanie danych osobowych pomiędzy podmiotami należącymi do grupy kapitałowej niejednokrotnie traktowane jest „po macoszemu”. Często wydaje się bowiem, że skoro między spółkami istnieje więź oparta na mniej lub bardziej bliskich relacjach biznesowych, to powinny one móc swobodnie wymieniać się informacjami, w tym danymi osobowymi. Podejście to nie jest jednak prawidłowe, jako że RODO wymusza ustalenie ról podmiotów uczestniczących w procesie przetwarzania danych osobowych. Przykładowo, wymiana danych osobowych między spółkami może następować w modelu administrator – administrator. W takim wypadku wzajemne udostępnianie danych osobowych może następować np. w oparciu o uzasadniony interes prawny spółek (możliwość taka wskazana jest w motywie 48 preambuły RODO). Niewykluczone jednak, iż relacje występujące pomiędzy poszczególnymi spółkami w grupie uzasadniać będą konieczność powierzenia przetwarzania danych przetwarzania, czyli co?Na początek warto zwrócić uwagę na to, iż „powierzenie przetwarzania danych osobowych” nie otrzymało definicji legalnej w RODO (pojęcie to nie występuje w ogóle w wersji angielskiej rozporządzenia). „Zamiast” tego, rozporządzenie określa kim jest administrator danych oraz podmiot przetwarzający (tzw. procesor), charakteryzując drugiego z nich jako „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora”.Dla przyznania danemu podmiotowi statusu podmiotu przetwarzającego, kluczowe znaczenie ma przetwarzanie przez niego danych osobowych w imieniu administratora. Podmiot przetwarzający (procesor) nie będzie bowiem samodzielnie ustalać celów i sposobów przetwarzania. Będzie on przetwarzał dane „w ramach podstaw obranych przez [administratora] celów, sposobów, o których ten pierwszy zdecydował”[1].Powierzenie przetwarzania – kiedy?Wypada zatem zadać sobie pytanie, kiedy relacje występujące pomiędzy dwoma spółkami w grupie kapitałowej będą kształtować się w ten sposób, że jedna z nich przetwarza dane osobowe w imieniu drugiej. Najczęściej taka sytuacja będzie występować w przypadku spółek obsługujących inne podmioty w grupie, przykładowo w zakresie działalności księgowej, czy wsparcia systemów informatycznych (tzw. centrów usług wspólnych).Istotna w ramach omawianej tematyki jest również kwestia, czy podmiotem przetwarzającym może być spółka matka. Łatwo wyobrazić sobie sytuację, w której spółka dominująca przetwarzać będzie dane osobowe pochodzące z innych spółek należących do grupy kapitałowej, np. w zakresie prowadzenia bazy wszystkich pracowników, czy klientów spółki – matki jako podmiotu przetwarzającego może jednak budzić pewne wątpliwości, biorąc pod uwagę wpływ jaki spółka ta ma na pozostałe podmioty należące do grupy kapitałowej. Wątpliwości te na pierwszy rzut oka może pogłębiać lektura przepisów pierwszej kolejności należy zaznaczyć, iż RODO nie posługuje się pojęciem „grupy kapitałowej”, a „grupy przedsiębiorstw”, definiowanej jako „przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane” (art. 4 pkt 19) RODO). Pojęcia te nie są tożsame, jednakże często stosowane są zamienne. Główna różnica polega na tym, że w przypadku grupy kapitałowej nacisk kładziony jest na powiązania kapitałowe pomiędzy spółkami[2], natomiast w przypadku grupy przedsiębiorstw na pierwszy plan wysuwa się element kontroli, wniosek potwierdza lektura preambuły RODO. W motywie 37 wskazano bowiem, iż „przedsiębiorstwo sprawujące kontrolę powinno być przedsiębiorstwem, które może wywierać dominujący wpływ na pozostałe przedsiębiorstwa ze względu na przykład na strukturę właścicielską, udział finansowy lub przepisy regulujące jego działalność, lub też uprawnienia do nakazywania wdrożenia przepisów o ochronie danych osobowych”.Szczególnie interesująca jest ostatnia część cytowanego fragmentu. Nakazywanie wdrożenia przepisów o ochronie danych osobowych przywodzi na myśl pozycję administratora, chociażby z tego względu, iż zgodnie z przepisami RODO jest on uprawniony do wydawania procesorowi poleceń. A contrario, uprawnienia takie nie przysługują procesorowi względem by się mogło, iż już sam prawodawca rozstrzygnął kwestię statusu spółki-matki (przedsiębiorstwa sprawującego kontrolę). W praktyce jednak, z uwagi na możliwość prowadzenia przez spółkę-matkę działalności usługowej względem pozostałych podmiotów należących do grupy, niewykluczone jest występowanie przez nią w roli procesora, np. w przypadku świadczenia usług hostingu na rzecz pozostałych podmiotów w grupie. Możliwe jest także łączenie dwóch ról, w przypadku gdy z jednej strony spółka-matka świadczyć będzie usługi na rzecz pozostałych podmiotów, a jednocześnie będzie „uwłaszczać się” na pozyskanych od nich danych (np. w zakresie prowadzonej na poziomie centralnym działalności marketingowej).Jednocześnie trzeba pamiętać, iż w każdym wypadku ustalenie statusu podmiotu należącego do grupy kapitałowej – niezależnie od tego, czy chodzi o spółkę-matkę, czy też spółkę „szeregową” – powinno opierać się na analizie stanu faktycznego związanego z przetwarzaniem danych osobowych. Jak wskazuje Grupa Robocza Art. 29:”należy przyjrzeć się konkretnym operacjom przetwarzania i zrozumieć, kto je określa, odpowiadając na pierwszym etapie na pytania «dlaczego dane przetwarzanie ma miejsce? Kto jest rozpoczął»?”[3].Powierzenie przetwarzania – jak?W przypadku ustalenia, iż dana spółka występuje w ramach grupy kapitałowej w roli procesora, konieczne jest uregulowanie zasad powierzenia jej przez spółkę-administratora przetwarzania należących do niej danych pierwszej kolejności, administrator powinien zweryfikować, czy spółka, której zamierza powierzyć dane osobowe do przetwarzania zapewnia wystarczające gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 RODO).W przypadku grup kapitałowych wzajemne weryfikowanie się poszczególnych spółek może wydawać się absurdalne, w szczególności w przypadku tych grup, w których współpraca spółek jest bliska. Na pierwszy plan wkraczają tutaj zasady compliance przyjęte w spółkach[4]. W przypadku wprowadzenia na poziomie całej grupy kapitałowej jednolitych zasad ochrony danych osobowych weryfikacja spółek przetwarzających dane osobowe w imieniu innych należących do grupy może stać się „formalnością”.Samo powierzenie przetwarzania, zgodnie z art. 28 ust. 3 RODO, może przybrać jedną z dwóch postaci:zawarcia między podmiotami umowy powierzenia przetwarzania danych osobowych lubposłużenie tzw. „innym instrumentem prawnym”.Wymogi umowy powierzenia przetwarzania danych osobowych określone zostały w przytoczonym powyżej artykule. W praktyce, umowy takie, zawierane pomiędzy spółkami należącymi do grupy kapitałowej są mniej rygorystyczne niż umowy zawierane z podmiotami zewnętrznymi. W szczególności dotyczy to zasad korzystania z dalszych podmiotów przetwarzających (ogólna zgoda z możliwością wyrażenia sprzeciwu przez administratora w przypadku zmiany wskazanych podmiotów w miejsce wymogu uzyskiwania każdorazowej szczegółowej zgody) oraz wymogów związanych z zasadami ochrony danych (wskazane powyżej stosowanie jednolitych standardów w ramach grupy).Większym problemem może być potencjalnie duża liczba umów, jaka będzie musiała być zawarta pomiędzy spółkami. W szczególności dotyczy to tworzenia w ramach grupy kapitałowej spółek będących centrami usług wspólnych, odpowiedzialnych za świadczenie na rzecz innych spółek określonego rodzaju usług, jak np. wspomniane powyżej wsparcie perspektywie powyższego, kuszące może wydawać się posłużenie się konstrukcją przytoczonego już „innego instrumentu prawnego”. Wybór ten nie jest zależny jednak od swobodnej decyzji podmiotów uczestniczących w przetwarzaniu danych osobowych. W piśmiennictwie podkreśla się, że „inny instrument prawny” stanowi czynność prawną inną od umowy. Będzie nim w szczególności akt prawny[5]. Co do zasady konstrukcja ta nie znajdzie więc zastosowania do powierzenia przetwarzania danych osobowych pomiędzy spółkami w ramach grupy kapitałowej. Brak jest bowiem aktu prawnego, który regulowałby szczegółowo zasady przetwarzania danych osobowych w ramach grupy kapitałowej, czy też przepisu pozwalającego na uregulowanie zasad przetwarzania danych osobowych w grupie kapitałowej dokumentem przyjętym np. przez spółkę-matkę, które mogłyby zostać uznane za inny instrument jednak na uwadze, iż umowa zawierana pomiędzy spółką obsługującą inne spółki z grupy będzie zbliżona w treści, rozważyć można zawarcie umowy wielostronnej, tj. jednej umowy regulującej przetwarzanie przez spółkę-procesora danych osobowych kilku spółek-administratorów. Nadto, inaczej niż na gruncie uprzednio obowiązującej ustawy o ochronie danych osobowych, RODO nie wymaga, aby umowa została zawarta w formie pisemnej. Zgodnie z art. 28 ust. 9 RODO umowa winna mieć formę pisemną, w tym elektroniczną. Tę drugą zaś należy rozumieć inaczej niż formę elektroniczną wskazaną w Kodeksie cywilnym[6], zrównując ją z postacią elektroniczną, czyli polską formą dokumentową[7].Słowo na koniecPowierzenie przetwarzania danych osobowych wewnątrz grupy kapitałowej wbrew pozorom nie stanowi konstrukcji czysto teoretycznej. W szczególności, coraz częstsza praktyka przenoszenia części zadań, które dotychczas były wykonywane przez podmioty zewnętrzne względem spółek (outsourcing wewnętrzny), pociąga za sobą konieczność adekwatnego uregulowania związanego z tym przetwarzania danych przypadku uznania, że w danych okolicznościach faktycznych zachodzi konieczność powierzenia przetwarzania, niezbędne będzie zawarcie umowy powierzenia przetwarzania danych osobowych, zgodnej z wymogami określonymi w art. 28 ust. 3 RODO. Pewnym ułatwieniem jest w tym wypadku możliwość zawarcia umowy w formie dokumentowej. Obowiązek zawarcia ww. umowy nie powinien być ignorowany. Oprócz znanych i (nie)lubianych konsekwencji związanych z brakiem umowy, w postaci ryzyka nałożenia wysokiej administracyjnej kary pieniężnej, należy mieć także na uwadze możliwość zakwalifikowania działań niedoszłego procesora jako działań administratora danych osobowych i ponoszenia związanej z tym odpowiedzialności (art. 28 ust. 10 RODO).[1] M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Warszawa 2018[2] (data dostępu: r.)[3] Opinia Grupy Roboczej Art. 29 nr 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający” ( data dostępu: r.)[4] Kwestia compliance w grupach kapitałowych będzie przedmiotem artykułu z cyklu ForumBK, jaki ukaże się w dniu M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Warszawa 2018[6]Art. 78[1] § 1: Do zachowania elektronicznej formy czynności prawnej wystarcza złożenie oświadczenia woli w postaci elektronicznej i opatrzenie go kwalifikowanym podpisem elektronicznym.[7] Por. np. rozważania dot. formy umowy powierzenia przetwarzane P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Warszawa 2018***AbstractArticle published as part of the #ForumBK project – GDPR in capital groupsThe transfer of personal data between entities belonging to a group of companies may be based on a number of grounds, depending on the status of individual entities participating in the processing. For instance, one company may process personal data on behalf of another company. Such a situation occurs most often in the case of a company created to render services to other companies belonging to the group. Nevertheless, in each case, determining the status of the entity participating in the processing of personal data should be based on an analysis of the facts related to the processing. Processing of the personal data by a processor within the group of companies is governed by a data processing agreement. Before conclusion of such an agreement, the data controller should verify the processor; in group of companies, this entails verifying whether the processor provides sufficient guarantees to implement appropriate data protection measures which may involve the adoption of uniform data protection standards in the group. Data processing agreement may be concluded in an electronic form.

umowa powierzenia przetwarzania danych osobowych z pocztą polską rodo