Umowa podpowierzenia

Beata Marek Cloud Computing, E-commerce, Ochrona danych osobowych, Prawo, Startup IT 1 Comment

To normalne, że dostawca outsourcuje pewne procesy lub usługi poza własne przedsiębiorstwo. Oczywiście powinien odpowiednio ostrożnie podchodzić do tego komu i co zleca (analiza GRC!). Często dostawcy usług chmurowych (bez względu na model usługowy chmury) podpowierzają przetwarzanie danych osobowych, które zostały im powierzone. A to ma wpływ na brzmienie umów powierzenia.

Najprościej mówiąc podpowierzenie ma miejsce zawsze wtedy, gdy dostawca zleca przetwarzanie danych, które zostały mu powierzone, innemu samodzielnemu podmiotowi gospodarczemu (może być to zarówno spółka córka jak i każdy inny podmiot). W tym kontekście mówimy o podzleceniu przetwarzania danych osobowych czyli podwykonawstwie. Posługując się przykładem na zobrazowanie definicji wskążę na popularne zlecenie na zewnątrz usługi świadczenia pomocy technicznej czy programistycznej. Jeśli pracownicy firmy, której została zlecona jedna z tych przykładowych usług będą mogli uzyskać dostęp do danych osobowych, które przetwarza zarówno Administrator danych jak i Dostawca to będziemy o nich mówili jako o osobach upoważnionych do przetwarzania danych osobowych przez podmiot, któremu podpowierzono przetwarzanie danych osobowych. Jak wynika już z samej nazwy “podpowierzenie” to czynność mająca ścisły związek z powierzeniem dlatego umowa powierzenia przetwarzania danych osobowych powinna być odpowiednio skonstruowana.

umowa-powierzenia-podpowierzenia

Umowa podpowierzenia – podstawy prawne na gruncie polskich przepisów

Zapytasz mnie zapewne dlaczego posługuje się terminem „umowa podowierzenia” skoro w polskiej ustawie z dnia 29 sierpnia 1997r. o ochronie danych osobowych (t.j. Dz. U. 2002 r. Nr 101 poz. 926 ) jest mowa tylko o powierzeniu przetwarzania danych osobowych:

Art. 31. 1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.

Zgodzę się z Tobą, że na gruncie polskiej ustawy nie jest uregulowane wprost dalsze powierzenie przetwarzania danych osobowych niemniej dalsze powierzenie przetwarzania danych osobowych jest także powierzeniem!. W związku z tym z interpretacji literalnej brzmienia przepisu, który powołałam powyżej, jasno wynika, iż:

  • 1)Administrator danych może zawrzeć umowę powierzenia z Dostawcą, następnie odrębną umowę powierzenia z każdym podmiotem, któremu podzleca przetwarzanie danych osobowych Dostawca – w praktyce nie do przyjęcia ze względów logistycznych!
  • 2)Administrator danych może zawrzeć umowę powierzenia z Dostawcą, a w umowie tej wyrazić zgodę na dalsze powierzenie przetwarzania danych osobowych innym podmiotom – rozwiązanie, które sprawdza się w praktyce obrotu gospodarczego.

    • Można rozważać zasadność wprowadzenia do polskiej ustawy instytucji podpowierzenia (podzlecenia) niemniej osobiście uważam, że nie ma takiej potrzeby. W gruncie rzeczy dlatego, iż przepisy ustawy w tym zakresie są jasne – uzależniają bowiem dalsze powierzenie przetwarzania danych osobowych od wiedzy i zgody Administratora danych, który jak wiemy decyduje o środkach i celach przetwarzania danych osobowych. Nie zmienia to jednak faktu, że Administrator Danych powinien dołożyć szczególnej staranności przy zawieraniu umowy powierzenia przetwarzana danych osobowych (podobnie jak przy zawarciu samej umowy o świadczenie usług drogą elektroniczną oraz SLA).

    Umowa podpowierzenia jest specyficzną umową powierzenia. Specyficzną z uwagi na terminologię bo elementy przedmiotowo istotne są tożsame z umową powierzenia (forma pisemna albo inna zrównana z formą pisemną – np. umowa opatrzona bezpiecznym podpisem elektronicznym, cel i zakres umowy taki sam jak w umowie powierzenia, odpowiednie zabezpieczenie danych osobowych).

    Ponadto z pomocą przychodzą akty normatywne prawa unijnego oraz wytyczne, które wprost regulują kwestie tego rodzaju podzlecenia i obowiązują polskich (unijnych) przedsiębiorców.

    Umowa podowierzenia – strony

    Zanim się powołam na nie chciałabym uściślić terminologię.

    W kontekście umowy powierzenia mówimy o relacji prawnej pomiędzy dwoma stronami:

  • Administratorze Danych Osobowych (Klient dostawcy)
  • Procesorze (pol. przetwarzającym)/Podmiocie, któremu zlecono przetwarzanie danych osobowych czyli Wykonawcy (Dostawca usługi)

    • W odniesieniu do umowy podpowierzenia mówimy o relacji zachodzącej pomiędzy co najmniej trzema podmiotami:

  • Administratorze Danych Osobowych
  • Procesorze (pol. przetwarzającym)/Podmiocie, któremu zlecono przetwarzanie danych osobowych czyli Wykonawcy
  • Sub-processorze (pol. podprzetwarzającym)/Podmiocie, któremu podzlecono przetwarzanie danych osobowych czyli Podwykonawcy (Podmiot, z którym Dostawca zawiera umowę o świadczenie usług)

    • Jak wynika z powyższego każdy z podmiotów jest samodzielnym podmiotem w znaczeniu gospodarczym. Wszystkie podmioty łączy wspólna relacja, która musi być uregulowana w drodze odpowiednich umów. Strony, które zawierają umowę powierzenia powinny być określone precyzyjnie. To nie budzi wątpliwości. Pytanie nasuwa się w obrębie zawieranej umowy powierzenia, gdy została zawarta umowy podpowierzenia. Otóż czy dopuszczalne jest blankietowe określenie podwykonawcy? (np. zapis “X może również zaangażować inne spółki do świadczenia w imieniu X usług …”). Z pewnością tego typu zapis będzie wygodny dla dostawcy. Jednakże dla usługodawcy (Administratora danych) może on okazać się nie wystarczający (i co do zasady powinien się taki okazać) dlatego Dostawca powinien być gotowy na to, że usługodawca będzie żądał precyzyjnego określenia wszystkich podmiotów, którym podzlecane jest przetwarzanie danych osobowych.

    Umowa podpowierzenia – regulacje na poziomie europejskim

    Teraz mogę przejść do wskazania regulacji, na które powinieneś szczególnie zwrócić uwagę w odniesieniu do podpowierzenia:

  • Dyrektywa 95/46/WE parlamentu europejskiego i rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych

    • Na poziomie dyrektywy bardzo ważnymi przepisami w odniesieniu do outsorcingu są art. 16 (poufność danych) oraz art. 17 (bezpieczeństwo). Na przykładzie dyrektywy widać wyraźnie, że zarówno powierzenie jak i podpowierzenie nie może zapewniać mniejszej ochrony aniżeli takiej do jakiej zapewnienia jest zobowiązany Administrator danych.

  • Dyrektywa 2002/58/WE parlamentu europejskiego i rady z dnia 12 lipca 2002r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej)

    • (32) W przypadku gdy dostawca usług łączności elektronicznej lub usług tworzących wartość dodaną zleca przetwarzanie danych osobowych niezbędnych do dostarczenia tych usług innemu podmiotowi, to podwykonawstwo i kolejne przetwarzanie danych powinno być w pełni zgodne z wymogami dotyczącymi kontrolerów i osób przetwarzających dane osobowe określonych w dyrektywie 95/46/WE. W przypadku gdy dostarczenie usług tworzących wartość dodaną wymaga, aby dane o ruchu lub dane lokalizacji były przekazywane przez dostawcę usług łączności elektronicznej dostawcy usług tworzących wartość dodaną, abonenci lub użytkownicy, których dane dotyczą, powinni być również w pełni informowani o takim przesyłaniu danych przed wyrażeniem przez nich zgody na przetwarzanie danych.

    Przepis jest odesłaniem do stosowania postanowień dyrektywy (w zakresie warunków bezpiecznego przetwarzania danych osobowych na terenie UE). Stąd w umowach międzynarodowych punktem wyjścia jest dyrektywa z 1995r.

  • Decyzja Komisji z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (notyfikowana jako dokument nr C(2010) 593), (2010/87/UE)

    • Klauzula 11: Podwykonawstwo przetwarzania danych

    1. Podmiot odbierający dane nie podzleca czynności przetwarzania danych wykonywanych w imieniu podmiotu przekazującego dane na podstawie niniejszych klauzul bez uprzedniej pisemnej zgody podmiotu przekazującego dane. Jeżeli podmiot odbierający dane podzleca wykonanie swoich obowiązków w ramach niniejszych klauzul za zgodą podmiotu przekazującego dane, czyni to wyłącznie na podstawie umowy pisemnej z podwykonawcą przetwarzania, która nakłada na podwykonawcę przetwarzania te same obowiązki, jakie spoczywają na podmiocie odbierającym dane w ramach niniejszych klauzul [Ten wymóg może zostać spełniony przez wspólne podpisanie przez podwykonawcę przetwarzania umowy zawartej między podmiotem przekazującym a odbierającym dane na mocy wspólnej umowy]. Jeżeli podwykonawca przetwarzania nie wypełnia swoich obowiązków w zakresie ochrony danych w ramach takiej umowy pisemnej, podmiot odbierający dane ponosi pełną odpowiedzialność wobec podmiotu przekazującego dane za wykonanie obowiązków podwykonawcy przetwarzania na mocy takiej umowy.

    2. Umowa pisemna zawarta między podmiotem odbierającym dane a podwykonawcą przetwarzania przed przekazaniem danych osobowych podwykonawcy przetwarzania obejmuje również klauzulę na rzecz osoby trzeciej, określoną w klauzuli 3, w odniesieniu do przypadków, w których osoba, której dotyczą dane, nie jest w stanie wystąpić z roszczeniem o odszkodowanie, o którym mowa w klauzuli 6 pkt 1 przeciw podmiotowi przekazującemu lub odbierającemu dane, ponieważ przestały one istnieć faktycznie lub formalnie lub stały się niewypłacalne, a żaden podmiot będący następcą nie przejął na podstawie umowy lub z mocy prawa wszystkich zobowiązań prawnych podmiotu przekazującego lub odbierającego dane. Taka odpowiedzialność podwykonawcy przetwarzania wobec osoby trzeciej jest ograniczona do jego własnych czynności przetwarzania danych na podstawie niniejszych klauzul.

    3. Postanowienia umowy, o której mowa w ust. 1, dotyczące aspektów ochrony danych w odniesieniu do podwykonawstwa przetwarzania, podlegają prawu państwa członkowskiego, w którym prowadzi działalność gospodarczą podmiot przekazujący dane

    4. Podmiot przekazujący dane prowadzi wykaz umów dotyczących podwykonawstwa przetwarzania danych zawartych na podstawie niniejszych klauzul, o których został poinformowany przez podmiot odbierający dane na postawie klauzuli 5 lit. j); wykaz ten podlega aktualizacji co najmniej raz do roku. Wykaz udostępnia się organowi nadzorczemu właściwemu dla podmiotu przekazującego dane.

    Standardowe klauzule umowne mają zastosowanie w przypadku zawierania umowy pomiędzy podmiotami, z których jeden ma siedzibę na terenie Europejskiego Obszaru Gospodarczego (EOG), a drugi nie. Klauzule mają chronić europejskich przedsiębiorców.

  • Opinia Grupy Roboczej Artykułu 29 ds. Ochrony Danych 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający” (przyjęta 16 lutego 2010r.)

    • W przypadku wielu podmiotów zaangażowanych w proces kwestią strategiczną jest wyraźne przydzielenie zobowiązań i odpowiedzialności wynikających z przepisów dotyczących ochrony danych, tak aby nie były one rozproszone w łańcuchu podwykonawstwa. Innymi słowy, należy unikać łańcucha przetwarzających, który osłabiłby skuteczną kontrolę i jasną odpowiedzialność za działania związane z przetwarzaniem lub nawet je utrudniał, chyba że wyraźnie ustalono obowiązki różnych stron w łańcuchu.

    W przypadku usług chmurowych należy zwrócić szczególną uwagę na stos chmur.

  • Opinia Grupy Roboczej Artykułu 29 ds. Ochrony Danych 5/2012 w sprawie przetwarzania danych w chmurze obliczeniowej (przyjęta 1 lipca 2012r.)

    • Kluczowym wnioskiem płynącym z tej opinii jest fakt, że przedsiębiorstwa i organy administracji, które chcą skorzystać z usług przetwarzania danych w chmurze, powinny w pierwszej kolejności przeprowadzić szczegółową i dokładną analizę zagrożeń.

    – I tutaj odwołam się do analizy GRC, o której znaczeniu możesz przeczytać tutaj

    Jeżeli chodzi o zalecenia zawarte w niniejszej opinii, podkreśla się odpowiedzialność klienta usługi w chmurze jako administratora i tym samym zaleca się, aby klient wybrał takiego dostawcę usługi w chmurze, który gwarantuje zgodność z ustawodawstwem UE w zakresie ochrony danych. W kwestii odpowiednich gwarancji umownych w opinii określono wymóg, że umowa między klientem usługi w chmurze i jej dostawcą powinna zapewniać odpowiednie gwarancje pod względem środków technicznych i organizacyjnych. Istotne jest również zalecenie, zgodnie z którym klient usługi w chmurze powinien sprawdzić, czy dostawca tej usługi może zagwarantować legalność wszelkich operacji transgranicznego międzynarodowego przekazywania danych.

    W opinii tej podkreślono zagadnienia bardzo ważne takie jak:

  • przejrzystość warunków współpracy
  • respektowanie przepisów prawa unijnego
  • wymogi bezpieczeństwa
  • równość stron kontraktu (dostawca – administrator)
  • obowiązek wskazania przez dostawcę “obecnych lub potencjalnych podmiotów, którym podpowierzono usługi, oraz wskazując gwarancje, jakie podmioty te oferują dostawcy usług cloud computingu celem zapewnienia zgodności z dyrektywą 95/46/WE”
  • bezpieczne usuwanie danych
  • standard umowny pomiędzy przetwarzającym, a administratorem – 14 zapisów

    • Jak zatem widać umowa podpowierzenia ma ścisły związek z umową powierzenia i odwrotnie.

    Autor grafiki promującej wpis: Alex Volkov