Poradnik Przedsiębiorcy

Powierzenie przetwarzania danych osobowych według RODO

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) wprowadza wiele nowości do znanej już instytucji jaką jest powierzenie przetwarzania danych osobowych, w tym obowiązek zawarcia umowy o określonej w rozporządzeniu treści z podmiotem, któremu powierzamy dane osobowe. Warto zapoznać się z regułami prawnymi wiążącymi się z tą instytucją, gdyż dotyczą one w zasadzie każdego przedsiębiorcy. Do powierzenia dochodzi bowiem w zasadzie przy każdym outsourcingu usług na zewnątrz przedsiębiorstwa, np. przy przechowywaniu danych osobowych na serwerze podmiotu udostępniającego usługi poczty elektronicznej czy w związku z udostępnieniem danych zewnętrznej firmie księgowej.

Powierzenie przetwarzania danych osobowych

Punktem wyjścia przy powierzeniu przetwarzania jest leżący po stronie administratora obowiązek korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Oznacza to jednocześnie, że podmiot przetwarzający ma obowiązek wprowadzić w swojej strukturze odpowiednie zabezpieczenia, by legalnie przetwarzać dane na zlecenie administratora.

Najważniejszą zasadą powierzenia przetwarzania jest reguła, zgodnie z którą podmiot przetwarzający ma prawo przetwarzać dane osobowe wyłącznie na polecenie administratora, w sposób i w zakresie celów wskazanych przez administratora.

Ma on także obowiązek uzyskać uprzednią, szczegółową lub ogólną, pisemną zgodę administratora na korzystanie z usług innego podmiotu przetwarzającego. W przypadku ogólnej pisemnej zgody podmiot przetwarzający ma przy tym obowiązek informować administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

Dalsze udostępnienie danych możliwe jest wyłącznie za zgodą administratora. Zgoda może być ogólnie wyrażona w samej umowie o powierzenie przetwarzania danych osobowych.

Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, jak również obowiązki i prawa administratora w tym zakresie.

Umowa powierzenia przetwarzania danych osobowych

Umowa o powierzenie przetwarzania danych osobowych powinna mieć formę pisemną lub formę elektroniczną. Jej treść ma zgodnie z RODO obejmować postanowienia wskazujące, że podmiot przetwarzający:

  • przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej. Jednakże podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych,

  • zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,

  • podejmuje wszelkie środki wymagane przez RODO w związku z bezpieczeństwem przetwarzania (art. 32 RODO),

  • przestrzega warunków korzystania z usług innego podmiotu przetwarzającego,

  • biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw,

  • uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków związanych z bezpieczeństwem danych osobowych, oceną skutków dla ochrony danych i uprzednimi konsultacjami (art. 32–36 RODO),

  • po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych,

  • udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają te same obowiązki.

Pozostałe obowiązki podmiotu przetwarzającego

Każdy podmiot przetwarzający prowadzi rejestr kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje:

  • imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;

  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;

  • gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, oraz gdy ma to zastosowanie – dokumentacja odpowiednich zabezpieczeń;

  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Ponadto, jeżeli wobec podmiotu przetwarzającego zostaną spełnione przesłanki obowiązkowego wyznaczenia inspektora ochrony danych osobowych, to zgodnie z art. 37 RODO podmiot przetwarzający powinien zapewnić funkcjonowanie takiego podmiotu w swojej strukturze. Stosuje się w tym wypadku analogiczne zasady jak w przypadku wyznaczania inspektora przez administratora danych.

Nie tylko administrator ma obowiązek we wskazanych w RODO okolicznościach wyznaczyć inspektora ochrony danych – taki obowiązek ciążyć może również na podmiocie przetwarzającym.

Odpowiedzialność podmiotu przetwarzającego

Zarówno administrator, jak i podmiot przetwarzający narażają się na konieczność zapłaty sankcji administracyjnej w wysokości do 10 000 000 euro lub do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego w przypadku, gdy narusza przepisy dotyczące obowiązku zawarcia, zasad zawarcia i obligatoryjnej treści umowy o powierzenie przetwarzania danych osobowych, a także w przypadku nieprzestrzegania tych zasad (określonych w art. 28 RODO).

Podmiot przetwarzający jest narażony na konieczność zapłaty sankcji w wysokości do 10 000 000 euro lub do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego w razie naruszenia przepisów RODO dotyczących powierzenia przetwarzania.

Jednocześnie podmiot przetwarzający powinien mieć na uwadze, że związane z jego statusem uprawnienia ograniczają się do przetwarzania danych wyłącznie w zakresie celów i sposobów określonych przez administratora. Jeżeli podmiot przetwarzający sam bądź wspólnie z administratorem ustala cele przetwarzania – będzie uznany za współadministratora i narażony na kary administracyjne w takim samym zakresie jak administrator. Podobnie w przypadku, gdyby bez wiedzy administratora podmiot przetwarzający przetwarzał dane w innym celu i w inny sposób niż wynika to z poleceń administratora. W takiej sytuacji, jeżeli podmiot przetwarzający naruszy przepisy RODO przy określaniu celów i sposobów przetwarzania, zgodnie z art. 28 ust. 10 RODO uznaje się go za administratora w odniesieniu do tego przetwarzania.