(+ 48) 22 463 47 70

Blog

Forma umowy powierzenia przetwarzania danych osobowych

Forma umowy powierzenia przetwarzania danych osobowych

Art. 28 ust. 3 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), nakłada na administratora danych osobowych obowiązek zawarcia umowy powierzenia przetwarzania danych osobowych z każdym podmiotem, który przetwarza dane osobowe w imieniu administratora. Art. 28 ust. 9 RODO z kolei określa, że umowa taka powinna mieć formę pisemną lub elektroniczną. O ile kwestia formy pisemnej wydaje się jasna, o tyle określenie “forma elektroniczna” budzi już wiele wątpliwości.

Zgodnie z art. 781 kodeksu cywilnego, do zachowania elektronicznej formy czynności prawnej wystarcza złożenie oświadczenia woli w postaci elektronicznej i opatrzenie go kwalifikowanym podpisem elektronicznym. Tymczasem wiele firm zawierając umowy powierzenia przetwarzania danych osobowych, stosuje mechanizm jej akceptacji poprzez kliknięcie przycisku na stronie internetowej. Na podstawie literalnej wykładni tekstu RODO, nie jest to prawidłowe podejście i w takiej sytuacji plik z umową powinien zostać opatrzony kwalifikowanym podpisem elektronicznym.

Wydaje się, że nie taka była intencja unijnego ustawodawcy. Analizując praktykę w innych krajach, umowy powierzenia przetwarzania danych osobowych bez problemu są zawierane przez internet bez uciążliwego obowiązku stosowania kwalifikowanego podpisu elektronicznego. Podejrzewam, że w Polsce problem wynika ze specyficznej definicji formy elektronicznej w polskim prawie i niefortunnego użycia sformułowania “forma elektroniczna” w polskim tłumaczeniu RODO. W innych krajach forma elektroniczna niekoniecznie musi oznaczać konieczność opatrzenia umowy kwalifikowanym podpisem elektronicznym. Wykorzystanie stosunkowo nowego pojęcia formy dokumentowej w polskim prawie, byłoby znacznie lepszym rozwiązaniem i zaoszczędziło by administratorom danych wielu wątpliwości.

Chcesz otrzymywać informacje o podobnych wpisach na naszym blogu? Zapisz się na nasz newsletter: